《IPV6組網(wǎng)技術(shù)與實(shí)踐》 課件 11：保護(hù)IPv6網(wǎng)絡(luò)安全技術(shù)-2

單元11保護(hù)IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢(shì)，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運(yùn)行過(guò)程中，仍面臨IPv6地址欺騙，需要實(shí)施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實(shí)施DHCPv6Snooping安全、IPv6SourceGuard安全防護(hù)；面臨ND協(xié)議欺騙，需要實(shí)施NDSnooping安全等安全防護(hù)。在針對(duì)不同區(qū)域網(wǎng)絡(luò)之間安全防護(hù)時(shí)，還需要實(shí)施ACL6安全?！緦W(xué)習(xí)目標(biāo)】1.知識(shí)目標(biāo)（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護(hù)技術(shù)。（4）了解中ACL6安全技術(shù)。【學(xué)習(xí)目標(biāo)】2.技能目標(biāo)（1）實(shí)施IPv6安全地址。（2）實(shí)施DHCPv6Snooping安全。（3）實(shí)施NDSnooping安全安全防護(hù)。（4）實(shí)施ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】3.素養(yǎng)目標(biāo)（1）學(xué)會(huì)整理知識(shí)筆記，按照標(biāo)準(zhǔn)格式制作實(shí)訓(xùn)報(bào)告。（2）能保持工作環(huán)境干凈，實(shí)現(xiàn)物料放置地整潔，遵守6S現(xiàn)場(chǎng)管理標(biāo)準(zhǔn)。（3）學(xué)會(huì)和同伴友好溝通，建立友好團(tuán)隊(duì)合作關(guān)系。（4）在實(shí)訓(xùn)現(xiàn)場(chǎng)具有良好安全意識(shí)，懂得安全操作知識(shí)，嚴(yán)格按照安全標(biāo)準(zhǔn)流程操作。任務(wù)11.2

實(shí)施DHCPv6Snooping安全【技術(shù)介紹】1.什么DHCPv6Snooping窺探DHCPv6Snooping也叫DHCPv6窺探，黑客通過(guò)數(shù)據(jù)包捕獲工具，對(duì)部署在IPv6網(wǎng)絡(luò)中DHCPv6服務(wù)器通信窺探，實(shí)施DHCPv6攻擊目的。通過(guò)部署DHCPv6Snooping技術(shù)，過(guò)濾非法DHCPv6報(bào)文，保護(hù)DHCPv6服務(wù)器安全。其中，記錄在DHCPv6Snooping生成用戶數(shù)據(jù)表項(xiàng)，為IPv6SourceGuard安全提供服務(wù)。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.DHCPv6snooping應(yīng)用場(chǎng)景（1）DHCPv6欺騙攻擊。非法客戶端偽造DHCPv6請(qǐng)求報(bào)文，向DHCPv6服務(wù)器申請(qǐng)IPv6地址，形成DHCPv6欺騙。大量偽造DHCPv6請(qǐng)求報(bào)文導(dǎo)致DHCPv6服務(wù)器資源耗盡，造成合法客戶端也申請(qǐng)不到IPv6地址。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.DHCPv6snooping應(yīng)用場(chǎng)景安裝在網(wǎng)絡(luò)中DHCPv6服務(wù)器處于被動(dòng)。意味著不論什么消息，只要DHCPv6服務(wù)器接收到，都立即做出響應(yīng)。因此，很容易被網(wǎng)絡(luò)中非法客戶端利用，發(fā)生安全隱患。（2）偽造DHCPv6欺騙。安裝非法DHCPv6服務(wù)器，干擾合法DHCPv6服務(wù)器工作，導(dǎo)致客戶端地址申請(qǐng)，被發(fā)到偽DHCPv6服務(wù)器上，獲取到IPv6地址不可用。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】3.DHCPv6snooping安全內(nèi)容通過(guò)DHCPv6snooping安全防護(hù)技術(shù)，實(shí)現(xiàn)DHCPv6服務(wù)器安全。（1）過(guò)濾非法報(bào)文。丟棄非信任口收到的響應(yīng)報(bào)文。僅對(duì)來(lái)自非信任口的報(bào)文，進(jìn)行合法性檢查。丟棄與snp數(shù)據(jù)庫(kù)中信息不一致release、decline報(bào)文。丟棄IP、mac地址等信息與數(shù)據(jù)庫(kù)中不一致的請(qǐng)求報(bào)文。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】3.DHCPv6snooping安全內(nèi)容通過(guò)DHCPv6snooping安全防護(hù)技術(shù)，實(shí)現(xiàn)DHCPv6服務(wù)器安全。（2）隔離非法服務(wù)器。連接在非信任端口的服務(wù)器均屬于非法服務(wù)器，默認(rèn)端口非法。設(shè)備僅將客戶端請(qǐng)求報(bào)文，轉(zhuǎn)發(fā)至信任口。設(shè)備僅轉(zhuǎn)發(fā)從信任口接收的響應(yīng)報(bào)文。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】11.2.2掌握DHCPv6欺騙原理1.了解DHCPv6服務(wù)欺騙攻擊過(guò)程網(wǎng)絡(luò)中可能存在多臺(tái)DHCPv6服務(wù)器，保證客戶端只能從信任DHCPv6服務(wù)器獲取配置參數(shù)。如圖所示，客戶端僅與信任DHCPv6服務(wù)器通信，只有信任DHCPv6服務(wù)器響應(yīng)報(bào)文才允許傳輸給客戶端。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.開(kāi)啟DHCPv6Snooping安全防范為了保障DHCPv6服務(wù)器安全，在交換機(jī)上開(kāi)啟DHCPv6Snooping安全，監(jiān)控網(wǎng)絡(luò)中DHCPv6報(bào)文。把交換機(jī)連接DHCPv6服務(wù)器端口配為信任端口（DHCPv6TRUST），響應(yīng)正常DHCPv6報(bào)文轉(zhuǎn)發(fā)服務(wù)；其它端口都配為不可信端口（DHCPv6UNTRUST），過(guò)濾掉非法DHCPv6響應(yīng)報(bào)文。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.開(kāi)啟DHCPv6Snooping安全防范通過(guò)如下安全檢測(cè)過(guò)程，開(kāi)啟開(kāi)啟DHCPv6Snooping安全防范。首先，在接入交換機(jī)上開(kāi)啟DHCPv6Snooping服務(wù)，實(shí)現(xiàn)DHCPv6監(jiān)控。然后，把交換機(jī)連接DHCPv6服務(wù)器口配置為可信任端口（DHCPv6TRUST），響應(yīng)正常DHCPv6報(bào)文轉(zhuǎn)發(fā)。在交換機(jī)連接用戶口配置為不可信端口（DHCPv6UNTRUST），過(guò)濾掉非法DHCPv6響應(yīng)報(bào)文。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全通過(guò)實(shí)施如下命令，在IPv6網(wǎng)絡(luò)中，保護(hù)DHCPv6服務(wù)器安全。（1）啟動(dòng)DHCPv6Snooping功能。在全局配置模式下，使用如下命令開(kāi)啟DHCPv6Snooping安全防護(hù)。Switch(config)#ipv6dhcpsnooping使用“showipv6dhcpsnooping”命令查看DHCPv6Snooping功能是否打開(kāi)。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（2）啟動(dòng)DHCPv6請(qǐng)求報(bào)文過(guò)濾功能。Switch(config-if)#ipv6dhcpsnoopingfilter-dhcp-pkt在接口模式下，通過(guò)該命令拒絕該端口下所有DHCPv6請(qǐng)求報(bào)文。（3）配置指定VLAN的DHCPv6Snooping功能。Switch(config)#ipv6dhcpsnoopingvlan{vlan-rng|{vlan-min[vlan-max]}}11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全通過(guò)實(shí)施如下命令，在IPv6網(wǎng)絡(luò)中，保護(hù)DHCPv6服務(wù)器安全。（其中，各項(xiàng)參數(shù)說(shuō)明如下。vlan-rng：DHCPv6Snooping功能生效vlan范圍。vlan-min：DHCPv6Snooping功能生效vlan下限。vlan-max：DHCPv6Snooping功能生效vlan上限。如：Switch(config)#ipv6dhcpsnoopingvlan1-311.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（4）配置DHCPv6SnoopingTRUST口。Switch(config-if)#ipv6dhcpsnoopingtrust通過(guò)配置該命令將連接合法DHCPv6服務(wù)器口配為TRUST口，TRUST口到DHCPv6響應(yīng)報(bào)文正常轉(zhuǎn)發(fā)；UNTRUST口收到DHCPv6響應(yīng)報(bào)文被丟棄。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（5）查看DHCPv6服務(wù)運(yùn)行情況。Switch#showipv6dhcpsnooping//顯示DHCPv6Snooping配置Switch#showipv6dhcpsnoopingvlan//顯示DHCPv6Snooping沒(méi)有生效vlanSwitch#showipv6dhcpsnoopingbinding//顯示綁定數(shù)據(jù)庫(kù)動(dòng)態(tài)綁定表項(xiàng)Switch#showipv6sourcebinding//顯示手工添加所有靜態(tài)綁定表項(xiàng)和DHCPv6Snooping綁定數(shù)據(jù)庫(kù)中動(dòng)態(tài)綁定表項(xiàng)11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實(shí)施DHCPv6Snooping安全如圖為某企業(yè)DHCPv6服務(wù)器，在接入交換機(jī)上實(shí)施DHCPv6Snooping安全，保障客戶端通過(guò)交換機(jī)連接到合法DHCPv6服務(wù)器，動(dòng)態(tài)獲取IPv6地址。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實(shí)施DHCPv6Snooping安全實(shí)施DHCPv6Snooping安全措施，保障DHCPv6服務(wù)器安全11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實(shí)施DHCPv6Snooping安全11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實(shí)施DHCPv6Snooping安全11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全為保護(hù)DHCPv6服務(wù)器安全，在交換機(jī)上實(shí)施IPv6SourceGuard安全綁定，對(duì)交換機(jī)轉(zhuǎn)發(fā)IPv6報(bào)文中的源IPv6字段檢查，檢查網(wǎng)絡(luò)中來(lái)自DHCPv6客戶端發(fā)送IPv6報(bào)文。其中，IPv6報(bào)文源地址字段必須和DHCPv6分配IPv6地址匹配。數(shù)據(jù)幀中源MAC地址和交換機(jī)上DHCPv6Snooping下發(fā)給硬件過(guò)濾表里MAC地址匹配。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全通過(guò)交換機(jī)硬件對(duì)轉(zhuǎn)發(fā)IPv6報(bào)文過(guò)濾，保證交換機(jī)的IPv6報(bào)文過(guò)濾數(shù)據(jù)庫(kù)中存在對(duì)應(yīng)信息用戶，才能正常轉(zhuǎn)發(fā)，防止偽造IPv6攻擊事件發(fā)生。如圖所示。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全需要注意的是：Ipv6SourceGuard安全是在DHCPv6Snooping安全基礎(chǔ)上，實(shí)施的進(jìn)一步安全檢查。也就是說(shuō)基于端口Ipv6SourceGuard安全，僅在DHCPv6Snooping控制網(wǎng)絡(luò)內(nèi)的非信任端口上生效。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全首先，在接入交換機(jī)上開(kāi)啟DHCPv6Snooping安全功能，實(shí)施DHCPv6報(bào)文監(jiān)控。接下來(lái)，設(shè)置接入交換機(jī)所有連接終端主機(jī)口為DHCPv6非信任口。并在接入交換機(jī)上開(kāi)啟Ipv6SourceGuard安全，實(shí)現(xiàn)Ipv6報(bào)文過(guò)濾。最后，在接入交換機(jī)上設(shè)置Ipv6SourceGuard匹配模式為“Ipv6+MAC”，讓交換機(jī)針對(duì)MAC字段與Ipv6字段的綜合檢查防范。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全此外，在安全端口上匹配的方式有以下兩種。一是基于源Ipv6地址過(guò)濾，要求三層IP報(bào)文中的源Ipv6字段，屬于綁定用戶記錄中的Ipv6地址集合，可以通過(guò)端口。二是基于Ipv6+MAC地址過(guò)濾，要求報(bào)文中源MAC與源Ipv6都必須和合法用戶表中的某條記錄完全匹配上，才能通過(guò)端口。11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全（1）啟動(dòng)端口上Ipv6SourceGuard功能。在接口模式下，啟動(dòng)接口上IPv6SourceGuard功能Switch(config-if)#ipv6verifysourceport-security然后，配置該端口為信任安全信任端口。Switch(config-if)#ipv6verifysourcetrust11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全（2）把靜態(tài)用戶信息綁定到IPv6源地址數(shù)據(jù)庫(kù)中。在全局模式下，通過(guò)此命令允許部分用戶通過(guò)IPv6SourceGuard檢測(cè)。Switch(config)#ipv6sourcebindingmac-addressvlanvlan-idipv6-address{interfaceinterface-id|ip-mac|ip-only}11.2實(shí)施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全其中，各項(xiàng)參數(shù)信息室說(shuō)明如下。mac-address：靜態(tài)添加的用戶的MAC地址。vlan-id：靜態(tài)添加的用戶的vlanid。ipv6-address：靜態(tài)添加的用戶的IPv6地址。interface-id：靜態(tài)添加的用戶所屬的有線接入接口。