單元11保護IPv6網絡安全技術【技術背景】IPv6技術帶有天然安全優勢，在可溯源性、鄰居發現協議、安全鄰居發現協議等方面，大大提升安全。但在IPv6網絡運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護；面臨ND協議欺騙，需要實施NDSnooping安全等安全防護。在針對不同區域網絡之間安全防護時，還需要實施ACL6安全。【學習目標】1.知識目標（1）了解IPv6安全地址綁定技術。（2）了解DHCPv6Snooping安全技術。（3）了解NDSnooping安全、IPv6RAGuard安全防護技術。（4）了解中ACL6安全技術。【學習目標】2.技能目標（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護。（4）實施ACL6安全技術。【學習目標】3.素養目標（1）學會整理知識筆記，按照標準格式制作實訓報告。（2）能保持工作環境干凈，實現物料放置地整潔，遵守6S現場管理標準。（3）學會和同伴友好溝通，建立友好團隊合作關系。（4）在實訓現場具有良好安全意識，懂得安全操作知識，嚴格按照安全標準流程操作。任務11.3

NDSnooping安全【技術介紹】NDSnooping安全是針對IPv6中的ND協議，在二層交換網中實施安全。通過偵聽用戶重復地址檢測DAD（DuplicateAddressDetection）中鄰居請求報文NS（NeighborSolicitation），建立NDSnooping動態綁定表，記錄報文源IPv6地址、源MAC地址、所屬VLAN、入口等信息，防止后續用戶實施網關欺騙。11.3實施NDSnooping安全【技術介紹】11.3.1了解NDSnooping安全ND協議沒有安全防范機制，容易被攻擊者利用。常見ND攻擊有兩種情況。1.地址欺騙攻擊攻擊者仿冒其它用戶IPv6地址，發送鄰居請求報文NS、鄰居通告報文NA、路由器請求報文RS，改寫網關地址等欺騙。或者網絡中用戶ND表項被仿冒，造成無法正常接收報文。11.3實施NDSnooping安全【技術介紹】11.3.1了解NDSnooping安全2.RA攻擊攻擊者仿冒網關設備，向用戶發送路由器通告報文RA，改寫用戶設備上ND表項，導致合法用戶記錄錯誤，造成用戶無法通信。如圖所示。11.3實施NDSnooping安全【技術介紹】11.3.2掌握NDSnooping安全原理NDSnooping通過偵聽基于ND報文，建立前綴管理表、NDSnooping動態綁定表，使設備根據前綴管理表，管理用戶IPv6地址。交換機根據NDSnooping動態綁定表，過濾從非信任端口上收到的非法ND報文，防止ND攻擊事件發生。11.3實施NDSnooping安全【技術介紹】11.3.2掌握NDSnooping安全原理1.區分Snooping信任端口/非信任端口NDSnooping安全將連接IPv6交換機口分為兩種角色。（1）NDSnooping信任端口。信任口連接網絡中信任的IPv6主機，從該接口上收到ND報文正常轉發。同時，交換機根據收到的RA報文，建立前綴管理表。11.3實施NDSnooping安全【技術介紹】1.區分Snooping信任端口/非信任端口（2）NDSnooping非信任端口非信任接口連接網絡中不信任IPv6主機，從該接口上收到RA報文，交換機認為是非法報文，直接丟棄。交換機根據NDSnooping動態綁定表，對NA/NS/RS報文進行綁定表匹配檢查。11.3實施NDSnooping安全【技術介紹】2.什么是前綴管理表通過無狀態地址自動配置方式，用戶設備獲取IPv6地址。其中，IPv6地址根據路由器發送RA報文中網絡前綴，自動生成。配置NDSnooping安全檢查后，交換機偵聽從NDSnooping信任端口上收到RA報文，自動生成前綴管理表，供網絡管理員查看，靈活管理用戶IPv6地址。11.3實施NDSnooping安全【技術介紹】3.更新和老化NDSnooping動態綁定表在交換機上配置NDSnooping動態綁定表，包括源IPv6地址、源MAC地址、所屬VLAN信息，幫助交換機從非信任端口上，對收到NA/NS/RS報文進行綁定表匹配檢查，過濾非法NA/NS/RS報文。通過配置NDSnooping安全檢查，檢查DAD檢測中NS報文信息，建立NDSnooping動態綁定表；通過檢查NS報文、NA報文內容，更新NDSnooping動態綁定表。11.3實施NDSnooping安全【技術介紹】4.NDSnooping動態綁定表應用場景如圖所示，黑客Attacker仿冒合法用戶UserA，向交換機發送偽造NA/NS/RS報文，導致交換機上ND表中記錄UserA設備錯誤地址映射，黑客Attacker獲到外部網絡通過網關原來要發往合法UserA設備上數據。【技術介紹】4.NDSnooping動態綁定表應用場景為了防止地址欺騙和攻擊事件發生，在交換機Switch的Gi0/1和Gi0/3接口上部署NDSnooping安全檢查，將Switch與網關相連接口Gi0/3置為信任接口；在連接用戶接口Gi0/1上開啟ND安全檢查。從交換機的Gi0/1口收到的NA/NS/RS報文，Switch根據生成NDSnooping動態綁定表，匹配檢查到非法報文直接丟棄，避免偽造的NA/NS/RS報文帶來危害。【技術介紹】11.3.3配置NDSnooping安全通過如下配置，完成NDSnooping安全配置操作。（1）開啟NDSnooping功能。在接口模式下，使用如下命令開啟NDSnooping功能。Switch(config-if)#ipv6ndsnoopingenable//開啟NDSnooping功能（2）配置NDSnooping信任口。在接口模式下，使用如下命令完成信任口配置。Switch(config-if)#ipv6ndsnoopingtrust//配置該接口為信任口【技術介紹】11.3.3配置NDSnooping安全（3）配置ND協議報文合法性檢查。在接口模式下，使用如下命令完成ND協議報文合法性檢查配置。Switch(config-if)#ipv6ndsnoopingcheckaddress-resolution//開啟報文合法性檢查在接口模式下，使用如下命令開啟NDSnooping綁定表檢查告警功能。Switch(config-if)#ipv6