- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-ND
本章節下載: 11-ND (225.47 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ IP-MAC綁定
¡ ND協議
· 配置指南
¡ ND表項
為增強設備的安全性,係統提供了IP-MAC綁定功能,即在設備上建立IPv6地址與MAC地址的對應關係即IP-MAC綁定表項,並基於該表項實現報文的過濾控製。該功能適用於防禦主機仿冒攻擊,可有效過濾攻擊者通過仿冒合法用戶主機的IPv6地址或者MAC地址向設備發送的偽造IP報文。
IPv6鄰居發現(Neighbor Discovery,ND)協議使用五種類型的ICMPv6消息(如下表所示),實現地址解析、驗證鄰居是否可達、重複地址檢測、路由器發現/前綴發現、地址自動配置和重定向等功能。
表-1 ICMPv6消息
|
ICMPv6消息 |
類型號 |
作用 |
|
鄰居請求消息NS(Neighbor Solicitation) |
135 |
獲取鄰居的鏈路層地址 |
|
驗證鄰居是否可達 |
||
|
進行重複地址檢測 |
||
|
鄰居通告消息NA(Neighbor Advertisement) |
136 |
對NS消息進行響應 |
|
節點在鏈路層變化時主動發送NA消息,向鄰居節點通告本節點的變化信息 |
||
|
路由器請求消息RS(Router Solicitation) |
133 |
節點啟動後,通過RS消息向路由器發出請求,請求前綴和其他配置信息,用於節點的自動配置 |
|
路由器通告消息RA(Router Advertisement) |
134 |
對RS消息進行響應 |
|
在沒有抑製RA消息發布的條件下,路由器會周期性地發布RA消息,其中包括前綴信息選項和一些標誌位的信息 |
||
|
重定向消息(Redirect) |
137 |
當滿足一定的條件時,缺省網關通過向源主機發送重定向消息,使主機重新選擇正確的下一跳地址進行後續報文的發送 |
IP-MAC綁定表項可以通過手工配置和批量生成兩種方式進行創建。
· 手工配置綁定表項是指通過手工方式逐條配置IP-MAC綁定表項。該方式適用於局域網絡中主機較少的情況。
· 批量生成綁定表項是指通過指定接口下的ND表項生成對應的IP-MAC綁定表項。該方式適用於局域網絡中主機較多的情況。
配置IP-MAC綁定表項可以增加通信的安全性。設備收到報文後,提取報文頭中的源IPv6地址和源MAC地址,並與IP-MAC綁定表項進行匹配。如果源IPv6地址和源MAC地址與IP-MAC綁定表項一致,則轉發該報文;如果不一致,則認為該報文是非法報文,並將其丟棄。對於IPv6地址與MAC地址在IP-MAC綁定表項中都無匹配項的報文,則根據配置的缺省動作放行或丟棄。
若要使IP-MAC綁定表項生效,則需要在指定接口下開啟IP-MAC接口綁定功能。開啟IP-MAC接口綁定功能後,設備會對該接口上入方向的報文進行IP地址與MAC地址綁定關係的檢測。
鄰居表項保存的是設備在鏈路範圍內的鄰居信息,設備鄰居表項可以通過鄰居請求消息NS及鄰居通告消息NA來動態創建,也可以通過手工配置來靜態創建。
目前,靜態鄰居表項有兩種配置方式:
· 配置本節點的三層接口相連的鄰居節點的IPv6地址和鏈路層地址。
· 配置本節點VLAN中的二層端口相連的鄰居節點的IPv6地址和鏈路層地址。
對於VLAN接口,可以采用上述兩種方式來配置靜態鄰居表項:
· 采用第一種方式配置靜態鄰居表項後,設備還需要解析該VLAN下的二層端口信息。
采用第二種方式配置靜態鄰居表項後,需要保證該二層端口屬於指定的VLAN,且該VLAN已經創建了VLAN接口。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
