單元11保護IPv6網絡安全技術【技術背景】IPv6技術帶有天然安全優勢，在可溯源性、鄰居發現協議、安全鄰居發現協議等方面，大大提升安全。但在IPv6網絡運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護；面臨ND協議欺騙，需要實施NDSnooping安全等安全防護。在針對不同區域網絡之間安全防護時，還需要實施ACL6安全。【學習目標】1.知識目標（1）了解IPv6安全地址綁定技術。（2）了解DHCPv6Snooping安全技術。（3）了解NDSnooping安全、IPv6RAGuard安全防護技術。（4）了解中ACL6安全技術。【學習目標】2.技能目標（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護。（4）實施ACL6安全技術。【學習目標】3.素養目標（1）學會整理知識筆記，按照標準格式制作實訓報告。（2）能保持工作環境干凈，實現物料放置地整潔，遵守6S現場管理標準。（3）學會和同伴友好溝通，建立友好團隊合作關系。（4）在實訓現場具有良好安全意識，懂得安全操作知識，嚴格按照安全標準流程操作。任務11.4

實施ACL6安全【技術介紹】11.4.1什么是ACL6ACL6即IPv6ACL，指在IPv6網絡中過濾IPv6報文的訪問控制列表技術。ACL6對進出IPv6網絡中IPv6報文控制，阻止或允許特定IPv6報文進入網絡，控制IPv6網絡中特定的用戶訪問網絡目的。ACL6通過配置規則對特定IPv6數據包過濾。根據設定策略，允許或禁止相應IPv6數據包通過。和IPv4網絡中實施ACL規則一樣，ACL6規則對IPv6數據包分類，網絡設備根據這些規則，判斷哪些IPv6數據包可以接收，哪些IPv6數據包被拒絕。11.4

在IPv6網絡中實施ACL6安全【技術介紹】1.ACL6匹配內容ACL6匹配順序與過濾IPv4中ACL規則相同，也使用IPv6數據包中組成元素，控制IPv6數據包通過與否。如圖所示5元素組合，能標識某數據包來龍（即源地址、源端口）、去脈（即目的地址、目的端口）和通信方式（協議號），唯一標識某一個IPv6數據包。11.4在IPv6網絡中實施ACL6安全【技術介紹】2.ACL6匹配的順序如下創建一條ACL6規則，允許所有IPv6數據通過，后面語句將不被檢查。Router(config)#ipv6access-listipv6_acl_name//創建名稱為ipv6_acl規則Router(config-ipv6-nacl)#permitipv6anyany//允許所有ipv6報文通過Router(config-ipv6-nacl)#denyipv6host200::1any//拒絕2001::1報文通過第一條規則允許所有IPv6報文通過，從主機200::1上發出IPv6報文無法和后面那條deny規則匹配。設備在檢查到報文和第一條規則匹配，便不再檢查后面規則。11.4在IPv6網絡中實施ACL6安全【技術介紹】11.4.3配置ACL6規則（1）創建ACL6訪問控制列表。在配置模式下，使用如下命令創建一個ACL6列表。Router(config)#ipv6access-listacl-name//進入ACL6配置模式（2）配置ACL6訪問控制列表匹配規則。在ACL6訪問控制列表模式下，使用如下命令配置一條規則。Router(config-ipv6-nacl)#[sn]{permit|deny}protocol{src-ipv6-prefix/prefix-len|hostsrc-ipv6-addr|any}{dst-ipv6-pfix/pfix-len|hostdst-ipv6-addr|any}[opdstport|rangelowerupper][dscpdscp][flow-labelflow-label][fragment][time-rangetm-rng-name]【技術介紹】11.4.3配置ACL6規則其中，各項參數說明如下。sn：規則表序號，取值范圍為[1~2147483647]。permit：表示規則允許通過。deny：表示規則禁止通過。protocol：IPv6協議，包括icmp、ipv6、tcp、udp。src-ipv6-prefix/prefix-len：表示匹配某一個IPv6網段內主機發出報文。hostsrc-ipv6-addr：表示要匹配源IP為某一臺主機發出IPv6報文。any：表示要匹配任意主機發出的IPv6報文。dst-ipv6-pfix/pfix-len：表示匹配某一IPv6網段內主機IPv6報文。hostdst-ipv6-addr：表示要匹配某一臺主機IPv6報文。any：表示匹配發往任意主機IPv6報文。【技術介紹】11.4.3配置ACL6規則opdstport：表示要匹配TCP或UDP報文中目的端口，op參數可以是eq、neq、gt、lt，對應等于、不等于、大于、小于四個不同操作。rangelowerupper：表示匹配TCP或UDP報文中某個范圍內端口。dscpdscp：表示要匹配IPv6報文頭部dscp域。flow-labelflow-label：表示要匹配IPv6報文頭部流標簽域。fragment：表示匹配非首片的IPv6分片報文。time-rangetime-range-name：在指定時間區間內該規則才生效。【技術介紹】11.4.3配置ACL6規則（3）應用ACL6訪問控制列表。在接口模式下，使用如下命令讓ACL6在指定接口上生效。Router(config-if)#ipv6traffic-filteracl-name{in|out}其中，各項參數說明如下。acl-name：ACL6訪問控制列表名稱。in：表示對進入該接口的IPv6報文進行控制。out：表示對從該接口發出的IPv6報文進行控制。（4）查看規則。Router#showaccess-lists[acl-ame]//查看基本訪問列表Router#showipv6traffic-filter[interfaceinterface-name]//顯示接口上應用ACL6【技術介紹】11.4.3配置ACL6規則（5）關于隱含“拒絕所有數據流”規則。在每條IPv6訪問控制列表末尾，隱含著一條“拒絕所有IPv6數據流”規則。Router(config)#ipv6access-listipv6_aclRouter(config-ipv6-nacl)#permitipv6host200::1any這條訪問控制列表最后包含了一條規則：denyipv6anyany。需要注意的是：IPv6訪問控制列表默認拒絕所有IPv6報文，但不會過濾ND報文。【任務實施】【技術實踐1】使用ACL6實現IPv6網絡之間安全訪問【任務描述】如圖所示，通過配置ACL6禁止開發部計算機訪問網絡中心視頻服務器。【技術實踐1】使用ACL6實現IPv6網絡之間安全訪問【實施步驟】（1）按照拓撲完成組網。按照拓撲組網，完成網絡場景組建。盡量按照拓撲上接口連接組網，如果有相應的接口變化，相應修改如下接口名稱，配置信息沒有變化。【技術實踐1】使用ACL6實現IPv6網絡之間安全訪問【實施步驟】（2）配置ACL6訪問控制列表中規則。【技術實踐1】使用ACL6實現IPv6網絡之間安全訪問（3）將ACL6列表應用在開發部接口入方向。【技術實踐1】使用ACL6實現IPv6網絡之間安全訪問（4）測試效果。通過以下方法檢驗IPv6訪問列表配置效果。①通過ping檢查IPv6訪問列表是否在指定接口上生效。如IPv6訪問列表里配置禁止某臺IPv6主機或某個IPv6地址范圍內主機不允許訪問網絡，通過ping方式驗證。②通過訪問網絡資源方式檢驗IPv6訪問列表是否在指定接口上生效，如訪問IPv6網站。從開發部某臺PC機上ping視頻服務器，確認ping不通。【技術實踐2】使用NDSnooping保護DHCPv6服務器安全【任務描述】某部門由于網絡中沒有部署DHCPv6服務器，只能通過無狀態自動配置方式獲取IPv6地址。如果網絡中有攻擊，發送非法NA/NS/RS/RA報文，存在安全隱患。希望在Switch對非法NA/NS/RS/RA實施有效防范，提供安全的網絡環境。【技術實踐2】使用NDSnooping保護DHCPv6服務器安全【實施步驟】（1）按照拓撲完成組網。按照拓撲組網，完成網絡場景組建。盡量按照拓撲上接口連接組網，如果有相應的接口變化，相應修改如下接口名稱，配置信息沒有變化。【技術實踐2】使用NDSnooping保護DHCPv6服務器安全【實施步驟】（2）在Switch上創建VLAN10，分配接口到vlan中。