找回密码
 注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

查看: 8323|回复: 3

关于savi技术的一篇文章(转载)

[复制链接]
fox_yu_8 发表于 2010-12-30 09:44:49 | 显示全部楼层 |阅读模式
前几天和以前单位的同事聊起最近v6示范和试验的项目和技术,他告诉我,现在教育网内已经在进行savi的测试和应用了。猛然想起梁子前些日子拼命灌输我这方面的知识。。。。看来v6前进的步伐已经越来越快了。。。
我在网上找到了一片关于savi不错的基础文章。可以弥补基础上的,概念上的遗漏,抛这个石头。。是想获得更多的金矿~~~~吼吼
                                   
IPv6 SAVI技术原理简介

       随着互联网技术的迅速发展,安全问题日益严重,通常说IPv6比IPv4更安全,这种观点来源于IPv6最初的定义(RFC2401)对IPSec的强制使用,由于这种观点的存在促进了IPv6得到应用。

虽然这种强制IPSec的特征阻挡了一些攻击的入侵之机,但是IPv6并不是万能的,各种攻击漏洞也必定存在,而问题的根源大多是与非法主机接入有关,针对IPv4、IPv6主机的安全合法接入问题,清华大学于2009年4月提出SAVI源址合法性检验 rfc草案,该草案主要讲述了ipv4/ipv6的CPS(Control Packet Snooping)原理,根据CPS原理在接入设备(交换机、AP)上建立基于源地址的绑定关系,从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。

IPv6 SAVI技术原理

CPS对于客户端是透明的,在客户端没有任何变化,也没有新增任何协议,所涉及的内容都是根据已有的协议操作流程,在接入设备上建立绑定关系,这种绑定关系一般都是临时的,有生存期,也有一些事件可以触发接入设备解除具体的绑定关系。

CPS绑定关系的建立是以重复地址检测为基础的( ipv4的gratuitous ARP报文,ipv6的DAD NS报文),如果主机使用没有进行重复检测的地址作为源地址来发送报文,则接入设备应将该报文作为欺骗报文来处理。接入设备根据客户端发出重复地址检测报文后在一定时间内没有收到应答报文而在接入端建立基于源地址的绑定关系,绑定关系建立后,从相应的端口收到的数据报文,根据其源地址是否在端口绑定关系表中有匹配来确定报文是否合法,从而对合法报文正常转发,非法报文则丢弃。

IPv6 SAVI技术草案中关于IPv4的主机合法接入主要包括了ARP snooping与DHCP snooping两部分的内容;关于IPv6的主机合法接入主要包括了NDP snooping与DHCPv6 snooping两部分的内容,下面分别介绍。

NDP Snooping 功能

NDP snooping利用Control Packet Snooping(CPS)机制,通过源IPv6地址和锚信息绑定的方式,对端口接入报文进行合法性检测,放行匹配绑定的报文,丢弃不匹配的报文,以达到对直连链路节点准入控制的目的。

全局启用NDP snooping功能,交换机所有端口上均可建立NDP snooping绑定,但不下硬件表项(即准入控制表项)。

端口上启用NDP snooping功能时,该端口上初始化拒绝所有ipv6报文(除了源地址为本地链路地址的IPv6报文和NS/NA报文)。当该端口上根据DAD NS报文建立一个状态为SAC_BOUND的NDP snooping绑定时,则下发一个(IPv6 address,MAC,Port Name,VLAN ID)四元组的准入控制表项,允许符合规则的IPv6报文通过。

关闭端口的NDP snooping功能时,不删除上层绑定表项,只删除下发的准入控制表项;关闭全局的NDP snooping功能时,删除所有的上层绑定表项,同时删除下发的所有准入控制表项。

DHCPv6 Snooping 功能

在用户不需要认证和使用DHCPv6方式获取IPv6地址的环境之下,可以独立使用DHCPv6 SNOOPING在交换机上绑定用户,用户的(ipv6 address, mac, port)绑定信息可以是通过DHCPv6 SNOOPING在用户动态获取地址的过程中获得。接入主机获取动态地址之前只能访问DHCP SERVER和使用本地链路地址fe80::/10访问本地资源;获取动态全球单播地址之后可以访问所有资源。在这种模式下,接入交换机能够严格控制接入主机的报文,只有完全匹配IPv6 address、MAC、PORT的IPv6报文和本地链路报文才允许转发,可以对用户的源地址进行性有效控制,禁止用户私自配置地址而访问网络。以上介绍IPv6 SAVI技术。
满天星 发表于 2010-12-30 21:54:04 | 显示全部楼层
新东西啊,学习学习!搜索了一下,目前都还是IETF的Draft文档,不仅仅是楼主提到的NDP和DHCPv6两种,还有好多关于SAVI的应用,比如MIPv4、SEND、CGA地址等,都有相关的SAVI草案文档
部分可以参考(可在IETF网站查询,仅列举部分):
SAVI Solution for DHCP
FCFS-SAVI: First-Come First-Serve Source-Address Validation for Locally Assigned Addresses
SEND-based Source-Address Validation Implementation
Cryptographically Generated Address (CGA) Extension Header for Internet Protocol version 6 (IPv6)
回复

使用道具 举报

 楼主| fox_yu_8 发表于 2010-12-31 08:33:36 | 显示全部楼层
恩恩~虽然还不是很成熟的感觉。。但是应用已经在做了。。。
现在实测当中,cisco的功能相对要成功一些,当然~本身行业地位也是它的优势,现在看来H3C这方面就比较短板。。。
实测当中好像存在冲突~~~目前功能很不稳定。。。具体是哪些方面我需要去现场收集些信息啦
回复

使用道具 举报

满天星 发表于 2010-12-31 22:28:23 | 显示全部楼层
草案功能主要是缺乏实际应用与部署,协议的理解程度往往取决于设备商的设计者,Cisco的整体技术就比较成熟,H3C的短板肯定也会逐步解决的,给它提要求就行了,哈哈!
IPv6的发展,促使好多草案都已经开始融入设备商的正式商用版本了……
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|IPv6BBS ( 京ICP备13024693号 | 京公网安备11010802012238 )

GMT+8, 2024-3-28 17:40 , Processed in 0.039038 second(s), 17 queries .

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表