單元11保護IPv6網絡安全技術【技術背景】IPv6技術帶有天然安全優勢，在可溯源性、鄰居發現協議、安全鄰居發現協議等方面，大大提升安全。但在IPv6網絡運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護；面臨ND協議欺騙，需要實施NDSnooping安全等安全防護。在針對不同區域網絡之間安全防護時，還需要實施ACL6安全。【學習目標】1.知識目標（1）了解IPv6安全地址綁定技術。（2）了解DHCPv6Snooping安全技術。（3）了解NDSnooping安全、IPv6RAGuard安全防護技術。（4）了解中ACL6安全技術。【學習目標】2.技能目標（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護。（4）實施ACL6安全技術。【學習目標】3.素養目標（1）學會整理知識筆記，按照標準格式制作實訓報告。（2）能保持工作環境干凈，實現物料放置地整潔，遵守6S現場管理標準。（3）學會和同伴友好溝通，建立友好團隊合作關系。（4）在實訓現場具有良好安全意識，懂得安全操作知識，嚴格按照安全標準流程操作。任務11.1實施IPv6安全地址綁定【技術介紹】1.什么是交換機端口安全功能默認情況下，交換機的所有端口都是完全敞開，不提供任何安全檢查措施，允許所有的IPv6數據流通過。為保護IPv6網絡內的用戶安全，對接入交換機的端口增加安全功能，有效保護接入網絡安全，如圖所示。11.1實施IPv6安全地址綁定【技術介紹】1.什么是交換機端口安全功能交換機的端口安全是在二層端口上實施安全特性，實現以下功能。（1）只允許特定MAC地址接入到IPv6網絡，防止未授權設備接入。（2）限制端口接入設備數量，防止將過多設備接入到IPv6網絡。大部分網絡攻擊行為都采用欺騙源IP或源MAC地址方法，對網絡進行連續數據包攻擊，達到耗盡核心設備資源目的，如MAC攻擊、DHCPv6攻擊。這些針對交換機端口產生攻擊，通過啟用交換機端口安全防范。11.1實施IPv6安全地址綁定【技術介紹】2.交換機端口安全檢測原理通常把實施端口安全功能端口稱安全端口。端口安全通過檢查收到幀中源MAC地址，限定報文是否進入交換機。為了增強IPv6接入安全，將MAC地址和IPv6地址綁定作為安全地址，也可以只綁定MAC地址，或者IPv6地址，實施訪問限制，如圖所示。11.1實施IPv6安全地址綁定【技術介紹】3.限制交換機端口最大連接數當端口上連接安全地址數目達到允許個數，或端口收到一個不屬于該端口地址，交換機產生一個違例通知：如丟棄接收到IPv6數據包；發送違例通知或關閉端口等。11.1實施IPv6安全地址綁定【技術介紹】4.配置交換機端口安全（1）設置端口安全功能。Switch(config-if)#switchportport-security（2）設置端口最多安全地址個數。Switch(config-if)#switchportport-securitymaximumvalue（3）設置處理違例方式。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}其中，protect：發現違例，則丟棄違例的報文。restrict：發現違例，則丟棄違例的報文并且發送trap。shutdown：發現違例，則丟棄報文、并關閉接口。【技術介紹】（4）配置安全端口上的安全地址。在接口模式下，為安全端口添加安全地址。Switch(config-if)#switchportport-securitymac-addressmac-address（5）為安全端口添加IPv6安全地址綁定。在全局模式下，為安全端口添加IPv6安全地址綁定。Switch(config)#switchportport-securityinterfaceinterface-idbinding[mac-addressvlanvlan_id][ipv6-address]在接口模式下，為安全端口添加安全IPv6地址綁定。Switch(config-if)#switchportport-securitybinding[mac-addressvlanvlan_id][ipv6-address]【技術介紹】（6）顯示安全地址。顯示所有安全地址，或者指定接口的安全地址。Switch#showport-securityaddress[interfaceinterface-id]顯示所有生效的端口安全地址和端口安全綁定記錄。Switch#showport-securityall【技術介紹】【案例】配置安全端口為辦公網中接入交