概述
NDP(Neighbor Discovery Protocol,邻居发现协议)是IPv6的一个关键协议,相当于IPv4中的ARP.它组合了IPv4中的ARP、ICMP路由器发现和ICMP重定向等协议,并对它们作了改进。
IPv6 ND(IPv6 Neighbor Discovery,IPv6邻居发现)协议使用五种类型的ICMPv6消息,实现下面一些功能:地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等
ND状态机的迁移
IPv6地址解析过程
在IPv6中,ND协议通过在节点间交互NS和NA报文完成IPv6地址到链路层地址的解析,解析后用得到的链路层地址和IPv6地址等信息来建立相应的邻居缓存表项。其解析过程如下图所示:
路由器的优先级
ipv6中的nd信息,是有优先级的,有三种 分别是 high,medium low三种
修改命令:接口下,ipv6 nd router-preference high/medium/low
ND协议的安全
攻击行为
在网络中,常见的ND攻击有如下两种情况:
- 地址欺骗攻击:攻击者仿冒其他用户的IP地址发送邻居请求报文NS/邻居通告报文NA/路由器请求报文RS,会改写网关上或者其他用户的ND表项,导致被仿冒用户无法正常接收报文,从而无法正常通信。同时攻击者通过截获被仿冒用户的报文,可以非法获取用户的游戏、网银等帐号口令,会造成这些用户的重大利益损失。
- RA攻击:攻击者仿冒网关向其他用户发送路由器通告报文RA,会改写其他用户的ND表项或导致其它用户记录错误的IPv6配置参数,造成这些用户无法正常通信。
安全策略
为了避免上述ND攻击带来的危害,交换机提供了ND Snooping功能以对ND攻击进行防范。
ND Snooping的配置
<HUAWEIDGHWFutureMatrix> system-view
[HUAWEIDGHWFutureMatrix] nd snooping enable //全局使能ND Snooping功能
[HUAWEIDGHWFutureMatrix] vlan 10
[HUAWEIDGHWFutureMatrix-vlan10] nd snooping enable //在VLAN10内使能ND Snooping功能
[HUAWEIDGHWFutureMatrix-vlan10] nd snooping check ns enable //使能NS协议报文合法性检查功能
[HUAWEIDGHWFutureMatrix-vlan10] nd snooping check na enable //使能NA协议报文合法性检查功能
[HUAWEIDGHWFutureMatrix-vlan10] nd snooping check rs enable //使能RS协议报文合法性检查功能
[HUAWEIDGHWFutureMatrix-vlan10] quit
[HUAWEIDGHWFutureMatrix] interface gigabitethernet 1/0/3
[HUAWEIDGHWFutureMatrix-GigabitEthernet1/0/3] nd snooping trusted //配置GE1/0/3为信任接口
[HUAWEIDGHWFutureMatrix-GigabitEthernet1/0/3] quit检查加固结果
- 执行命令display nd snooping statistics
- //查看设备接收与丢弃的ND Snooping用户报文统计信息。
- 执行命令display nd snooping configuration
- //查看ND Snooping的配置信息。
