通过之前两期文章
，相信各人对IPv6的基础知识有了肯定的相识
，当IPv6在办公网、IDC现实部署后
，各人起头关注IPv6下的安全问题
，例如接入终端的合法性。

清华大学2009年4月提出SAVI(Source Address Validation Improvements)源址合法性检验RFC(Request For Comments）草案
，该草案描述通过源地址能够判断从指定端口接管到报文的合法性
，本文将对SAVI技术进行具体的解说。

注：当前SAVI技术涉及的3篇RFC别离是RFC8074、RFC7513、RFC6620。三个文件当前均为Proposed Standard状态（建议尺度：根基成熟
，但还必要进一步的试验证实其可行性）
，尚未成为全球尺度
，在以下内容中将涉及SAVI技术的RFC文件统一描述为 RFC尺度。

SAVI技术介绍

SAVI技术的工作机造

通过监听节造类报文（如ND、DHCPv6）
，即CPS（Control Packet Snooping）
，在接入设备上（AP或互换机）为终端成立基于IPv6源地址、源MAC地址及接入设备端口的绑定关系
，进而对通过指定端口的IP报文进行源地址校验。只有报文源地址与绑定表项匹配时能力够转发
，保障网络上数据报文源地址真实性。

CPS对于客户端是通明的
，在客户端没有任何变动
，也没有新增任何和谈
，所涉及的内容都是凭据已有的和谈操作流程。在接入设备上成立绑定关系
，这种绑定关系通常都是一时的
，有生计期
，也有一些事务能够触发接入设备解除具体的绑定关系。

SAVI RFC尺度中
，关于IPv6的合法接入重要蕴含了ND Snooping与DHCPv6 Snooping两部门内容。

DHCPv6 Snooping和ND Snooping作为组件整合到了SAVI中
， 通过SAVI-MIX整合
，从而同时具备DHCPv6 Snooping和ND Snooping两个职能
，按FCFS准则（First Come First Served
，先来先运行算法）实显熹中肆意一个职能
，保障IPv6主机的合法接入。

接下来将对DHCPv6 Snooping和ND Snooping
，结合分歧安全问题别离介绍实现道理。

DHCPv6 Snooping职能解析

在使用DHCPv6方式获取IPv6地址的环境下
，能够独立使用DHCPv6 Snooping在互换机上绑定用户
，通过对用户的源地址进行有效的节造
，实现不容用户私下配置地址而接见网络的主张。

DHCPv6 Snooping职能的实现流程

1、如图1所示
，在接入互换机上开启DHCPv6 Snooping职能
，将接入互换机上联端口默以为信赖端口。接入互换机上联DHCP Server
，下联客户主机A以及攻击主机B；

2、利用接入互换机的DHCPv6 Snooping职能监听客户主机A与DHCP Server之间交互的DHCPv6和谈报文；

3、接入主机获取动态地址之前只能接见DHCP Server和使用本地链路地址fe80::/10接见本地资源
，获取动态全球单播地址之后能够接见所有资源；

4、当用户在动态获取地址的过程中获得用户的IPv6 Address、MAC、Port绑定信息时
，下发硬件表项
，严格节造接入主机的报文。只有齐全匹配IPv6 Address、MAC、Port的IPv6报文和本地链路报文才允许转发。

▲图1: DHCPv6 Snooping职能的实现流程

利用DHCPv6 Snooping在DHCPv6-Only场景下解决私设DHCP Server及DHCP Client攻击源问题

如下图2所示

1、私设DHCP Server及DHCP Client攻击源造成的问题：

• 私设DHCP Server：导致主机获取到虚伪的IPv6地址
，影响业务转发；

• DHCP Client攻击源：犯法主机不休的向DHCP服务器提议要求
，亏损DHCPv6资源
，甚至造成无IP地址能够分配的情况
，从而影响到其他合法主机获取IPv6地址。

2、SAVI技术解决私设DHCP Server问题的重要步骤：

• 开启SAVI职能
，配置SAVI为DHCPv6-Only模式；

• SAVI的DHCPv6 Snooping组件在衔接DHCP Server接口上配置Trust
，其它端口默以为Untrust；

• 针对Untrust接口抛弃DHCPv6 Advertise报文及Reply报文。

3、SAVI技术解决DHCP Client攻击源问题的重要步骤：

• 开启SAVI职能
，配置SAVI为DHCPv6-Only模式；

•类似于SLAAC（Stateless Address Autoconfiguration
，无状态地址自动配置）场景下用户RS泛洪攻击
，用户主机异常发出大量RS报文要求IPV6地址
，亏损网段地址空间；

• 利用SAVI技术中DHCPv6 Snooping职能
，限度接入互换机下联端口的MAC数量及单MAC分配IPv6地址数量
，从而预防犯法主机不休的向DHCP服务器提议要求
，亏损DHCPv6资源。

▲图2:私设DHCP Server及DHCP Client攻击源拓扑图

ND Snooping职能解析

ND Snooping利用CPS机造
，通过源IPv6地址和接口设备的端口绑定的方式
，对端口接入报文进行合法性检测
，放行匹配绑定的报文
，抛弃不匹配的报文
，以达到对直连链路节点准入节造的主张。

ND Snooping职能的实现流程

1、如图3所示
，在接入互换机S2上开启ND Snooping职能
，进行ND Snooping进建
，但是不下发硬件表项（即准入节造表项）进行过滤节造；

2、在接入互换机S2下联端口启用ND Snooping职能
，该端口回绝转发所有IPv6报文（除了源地址为FE80::的IPv6报文和NS/NA报文）；

3、网关S1配置无状态地址自动配置和谈
，布告前缀2001::/64；

4、主机PC接管到来自S1的RA布告后
，通过无状态地址自动配置和谈自动获取前缀为2001::/64的IPv6地址
，地址天生后会先发送DAD NS报文
，探测在当前链路上该IPv6地址是否可用；

5、主机若收到DAD NA回应暗示该地址不成用
，反之暗示可用；

6、接入互换机S2当收到来自主机的DAD NS报文后
，会为该主机成立ND Snooping绑定
，在规按功夫内若未探测到回应的DAD NA报文
，则凭据该ND Snooping绑定下发一个IPv6 Address、MAC、Port、VLAN ID四元组的准入节造表项（即硬件表项）允许转发该源地址的IPv6报文。从而达到主机IPv6流量的节造接入主张。

▲图3: ND Snooping职能的实现流程

结合ND Snooping职能的根基实现流程
，下面介绍一下在SLAAC-Only场景中
，通过ND Snooping职能解决现实问题的实现步骤。

利用ND Snooping在SLAAC-Only场景下解决犯法RA报文问题

由于ND和谈扩大了ARP和谈的职能
，而没有对其进行安全性的扩大
，所以在IPv6的网络中
，ND和谈依然面对原有ARP和谈的风险；同时
，在ND和谈中新增的RA、RS报文
，固然简化了网络治理的工作
，但引入了新的风险。

1、犯法RA报文（Router Advertisement
，路由公告报文）造成的问题：

• 主机上线发送RS报文
，攻击源会假装成网关发送犯法RA报文使得主机受到糊弄
，获取到谬误的网络配相信息。如果
，RA携带的是伪造网络前缀列表
，则会批改受害主机的路由表
，造成受害主机无法上网。

2、SAVI技术解决犯法RA报文问题的步骤：

• 在图4所示的SLAAC-Only场景下
，受害主机和攻击源通过接入互换机B接入到业务网关A；

• 开启SAVI职能
，配置 SAVI 为 SLAAC-Only模式；

• 利用SAVI技术中ND-Snooping职能将接入互换机上联端口默以为信赖端口
，设置为Trust。接入互换机只允许已绑定的无状态地址自动配置方式分配的地址发送的报文通过；

• 默认其它端口为非信赖口Untrust
，接入互换机不允许以DHCPv6方式分配的地址发送的报文通过。当收到该报文时直接抛弃。

▲图4:解决犯法RA报文流程图

总 结

本文重要介绍了SAVI技术布景、道理以及两个关键职能分析
，即DHCPv6 Snooping和ND Snooping。接入设备通过监听终端获取IPv6地址的过程并天生安全绑定表项,从而在接入设备上过滤犯法终端的IPv6报文
，有效地解决了犯法IPv6用户接入的问题。

关于IPv6的安全话题
，敬请等待后续的IPv6 SAVI技术在园区网中的利用篇文章。

本期作者：史永亮

iSlot官方网站网络互联网系统部行业征询

往期杰出回首  

• 【第一期】浅谈物联网技术之通讯和谈的纷争
• 【第二期】若何通过网络遥测（Network Telemetry）技术实现精密化网络运维
  ？
• 【第三期】畅谈数据中心网络运维自动化
• 【第四期】基于Rogue AP反造的无线安全技术探求
• 【第五期】流量可视化之ERSPAN的前世今生
• 【第六期】若何实现数据中心网络架构“去”堆叠
• 【第七期】运维可视化之INT职能详解
• 【第八期】浅析RDMA网络下MMU水线设置
• 【第九期】第七代无线技术802.11ax详解
• 【第十期】数据中心自动化运维技术索求之互换机零配置上线
• 【第十一期】 浅谈数据中心100G光
  ？
• 【第十二期】数据中心网络等价多蹊径（ECMP）技术利用钻研
• 【第十三期】若何为RDMA构建无损网络
• 【第十四期】基于EVPN的散布式VXLAN实现规划
• 【第十五期】数据中心自动化运维技术索求之NETCONF
• 【第十六期】一文读懂网络界新贵Segment Routing技术化繁为简的奥秘
• 【第十七期】浅谈UWB（超宽带）室内定位技术
• 【第十八期】PoE以太网供电技术详解
• 【第十九期】机框式主题互换机硬件架构演进
• 【第二十期】 IPv6基础篇（上）——地址与报文体式
• 【第二十一期】IPv6系列基础篇（下）——邻居发现和谈NDP

有关推荐：

• IPv6系列基础篇（上）——地址与报文体式
• IPv6系列基础篇（下）——邻居发现和谈NDP
• IPv6系列安全篇——园区网IPv6的接入安全战术