圖1ND攻擊

在Comware平臺(tái)上所設(shè)計(jì)的SAVI（Source Address Validation，源地址有效性驗(yàn)證）技術(shù)，通過對地址分配協(xié)議的偵聽獲取用戶的IP地址，保證隨后的應(yīng)用中能夠使用正確地址上網(wǎng)，且不可偽造他人IP地址，保證了源地址的可靠性。同時(shí)，通過SAVI和Portal技術(shù)的結(jié)合，進(jìn)一步保證了所有上網(wǎng)用戶報(bào)文的真實(shí)性和安全性。

一、源地址驗(yàn)證技術(shù)保證IPv6網(wǎng)絡(luò)接入的安全性

Comware平臺(tái)針對IPv6網(wǎng)絡(luò)中的源地址偽造系列安全問題，提出了一系列解決方案。通過DHCPv6 Snooping特性、IPv6 Source Guard特性及ND Snooping特性建立起IPv6地址、MAC地址和端口的綁定關(guān)系表，并且以綁定關(guān)系為依據(jù)對DHCPv6協(xié)議報(bào)文、ND協(xié)議報(bào)文和IPv6數(shù)據(jù)報(bào)文的源地址進(jìn)行合法性的過濾檢查。 

1.DHCPv6 Snooping

安全關(guān)鍵詞：防偽造服務(wù)器攻擊，防地址欺騙攻擊，防DAD攻擊

DHCPv6 Snooping特性可以保證客戶端從合法的服務(wù)器獲取IPv6地址，并記錄DHCPv6客戶端IPv6地址與MAC地址的對應(yīng)關(guān)系，從而防止ND攻擊。

DHCPv6通過如下方式防止偽造服務(wù)器攻擊：為了使DHCPv6客戶端能通過合法的DHCPv6服務(wù)器獲取IPv6地址，DHCPv6 Snooping安全機(jī)制允許將端口設(shè)置為信任端口（Trusted Port）和不信任端口（Untrusted Port）：信任端口正常轉(zhuǎn)發(fā)接收到的DHCPv6報(bào)文；不信任端口接收到DHCPv6服務(wù)器發(fā)送的應(yīng)答報(bào)文后，丟棄該報(bào)文。連接DHCPv6服務(wù)器、DHCPv6中繼或其他DHCPv6 Snooping設(shè)備的端口需要設(shè)置為信任端口，其他端口設(shè)置為不信任端口，從而保證DHCPv6客戶端只能從合法的DHCPv6服務(wù)器獲取地址，私自架設(shè)的偽DHCPv6服務(wù)器無法為DHCPv6客戶端分配地址。

DHCPv6 Snooping通過監(jiān)聽DHCPv6報(bào)文，記錄DHCPv6 Snooping表項(xiàng)，其中包括客戶端的MAC地址、獲取到的IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。然后再通過在設(shè)備接入用戶側(cè)的端口上啟用IPv6 Source Guard功能，針對生成的表項(xiàng)，在對應(yīng)端口對收到的報(bào)文進(jìn)行過濾控制，防止非法報(bào)文通過端口，從而限制了對網(wǎng)絡(luò)資源的非法使用，包括地址欺騙攻擊等，提高了端口的安全性。

針對DAD攻擊，在有狀態(tài)分配地址時(shí)，使用DHCP snooping生成可信表項(xiàng)，攻擊者無法通過DHCP過程獲取與受害者相同的地址，異常的NA報(bào)文是無法通過接入層交換機(jī)過濾的，從而有效的防止了DAD攻擊。在無狀態(tài)自動(dòng)分配地址時(shí)，用戶可以使用隨機(jī)的InterfaceID，這樣正常用戶的地址分配過程中，設(shè)備上可以先建立起可信表項(xiàng)，并使用這個(gè)表項(xiàng)對攻擊者的NA報(bào)文進(jìn)行過濾，從而有效的防止DAD攻擊。詳見圖2示意。

圖2防止DAD攻擊 

2.IPv6 Source Guard

安全關(guān)鍵詞：用戶的合法性檢查

IPv6 Source Guard功能是針對用戶的合法性檢查功能，是報(bào)文中源IPv6地址和源MAC地址，檢查用戶是否是報(bào)文收到端口所屬VLAN上的合法用戶，包括基于IP Source Guard靜態(tài)綁定表項(xiàng)的檢查、基于ND Snooping表項(xiàng)的檢查和基于DHCPv6 Snooping安全表項(xiàng)的檢查。在這三種表項(xiàng)都存在的情況下，檢查過程如下（圖3為該過程示例）：

—首先進(jìn)行基于IP Source Guard靜態(tài)綁定表項(xiàng)檢查。如果找到了對應(yīng)源IPv6地址和源MAC地址的靜態(tài)綁定表項(xiàng)，認(rèn)為該ND報(bào)文合法，進(jìn)行轉(zhuǎn)發(fā)。如果找到了對應(yīng)源IPv6地址的靜態(tài)綁定表項(xiàng)但源MAC地址不符，認(rèn)為該ND報(bào)文非法，進(jìn)行丟棄。如果沒有找到對應(yīng)源IPv6地址的靜態(tài)綁定表項(xiàng)，繼續(xù)進(jìn)行DHCPv6 Snooping安全表項(xiàng)、ND Snooping安全表項(xiàng)檢查。

—在基于IP Source Guard靜態(tài)綁定表項(xiàng)檢查之后進(jìn)行基于DHCPv6 Snooping安全表項(xiàng)、ND Snooping安全表項(xiàng)檢查，只要符合兩者中任何一個(gè)，就認(rèn)為該ND報(bào)文合法，進(jìn)行轉(zhuǎn)發(fā)。

—如果所有檢查都沒有找到匹配的表項(xiàng)，則認(rèn)為是非法報(bào)文，直接丟棄。

圖3防止源地址欺騙

3.ND Snooping

安全關(guān)鍵詞：防地址欺騙攻擊

ND Snooping特性通過偵聽IPv6的自動(dòng)地址配置過程中的DAD（Duplicate Address Detection，重復(fù)地址檢測） NS消息來建立ND Snooping表項(xiàng)，表項(xiàng)內(nèi)容包括報(bào)文的源IPv6地址、源MAC地址、所屬VLAN、入端口等信息。當(dāng)一個(gè)VLAN使能ND Snooping后，該VLAN內(nèi)所有端口接收的ND報(bào)文均會(huì)被重定向到CPU。全局使能ND Snooping后，CPU會(huì)對這些ND報(bào)文進(jìn)行分析，獲取報(bào)文的源IPv6地址、源MAC地址、源VLAN和入端口信息，并根據(jù)這些信息來新建或更新ND Snooping表項(xiàng)。更新表項(xiàng)主要根據(jù)DAD NS報(bào)文，同時(shí)兼顧其它種類的ND報(bào)文，并附加更為主動(dòng)的確認(rèn)機(jī)制：首先，設(shè)備將探測現(xiàn)有該表項(xiàng)的正確性、探測新收到報(bào)文（報(bào)文A）真實(shí)性。最后通過老化表項(xiàng)機(jī)制，保證過期的ND Snooping表項(xiàng)能夠及時(shí)刪除。

與DHCPv6 Snooping一樣，ND Snooping表項(xiàng)也可與IPv6 Source Guard功能配合使用，通過在設(shè)備接入用戶側(cè)的端口上啟用IPv6 Source Guard功能，針對ND Snooping生成的表項(xiàng)，在對應(yīng)端口對收到的報(bào)文進(jìn)行過濾控制，防止地址欺騙攻擊，從而限制了對網(wǎng)絡(luò)資源的非法使用，提高了端口的安全性。

4.ND Detection和其他預(yù)防機(jī)制

安全關(guān)鍵詞：防仿冒網(wǎng)關(guān)攻擊，防DoS攻擊

在DHCPv6 Snooping和ND Snooping基礎(chǔ)上，Comware提供了ND Detection功能，檢查用戶的ND協(xié)議報(bào)文的合法性。對于合法用戶的ND報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。ND Detection功能將接入設(shè)備上的端口分為兩種：ND信任端口、ND非信任端口。對于ND信任端口，不進(jìn)行用戶合法性檢查；對于ND非信任端口，如果收到RA和RR消息，則認(rèn)為是非法報(bào)文直接丟棄，如果收到其它類型的ND報(bào)文，則需要進(jìn)行用戶合法性檢查，以防止仿冒用戶的攻擊（如圖4所示）。

圖4RA Trust

針對DoS攻擊，Comware也提供了相應(yīng)的預(yù)防機(jī)制。攻擊者通過構(gòu)造IP或MAC不斷變化的NS/RS報(bào)文進(jìn)行對三層設(shè)備的DoS攻擊，耗盡網(wǎng)關(guān)的ND表項(xiàng)資源。Comware在網(wǎng)關(guān)上可以基于路由口，也可以基于物理端口配置ND學(xué)習(xí)的數(shù)量，將ND攻擊限定在一個(gè)較小的范圍，未來還可以通過限制固定時(shí)間內(nèi)的學(xué)習(xí)數(shù)量等技術(shù)，擴(kuò)展對DoS攻擊的防御能力。

二、擴(kuò)展的WLAN技術(shù)

上述機(jī)制有力的保證了寬帶網(wǎng)絡(luò)中IPv6用戶的源地址的可靠性。針對WLAN的新型組網(wǎng)， Comware平臺(tái)提出了新穎的方案（H3C專利技術(shù)），解決了包括設(shè)備過濾性能、客戶端漫游等問題，并有效的完成了IPv6源地址驗(yàn)證。

WLAN組網(wǎng)中包括兩個(gè)要素：

lAP（Access Point，接入點(diǎn)），提供無線客戶端到局域網(wǎng)的橋接功能，在無線客戶端與無線局域網(wǎng)之間進(jìn)行無線到有線和有線到無線的幀轉(zhuǎn)換。

lAC（Access Controller，無線控制器），對無線局域網(wǎng)中的所有AP進(jìn)行控制和管理。無線控制器還可以通過同認(rèn)證服務(wù)器交互信息，來為WLAN用戶提供認(rèn)證服務(wù)。

因?yàn)榇嬖趦杉?jí)鏈路層轉(zhuǎn)發(fā)控制設(shè)備，如果類似于有線網(wǎng)絡(luò)，簡單的進(jìn)行DHCPv6 Snooping或ND snooping，再進(jìn)行IP Source Guard，需要考慮部署在哪一級(jí)。如果兩者都部署在AC上，則當(dāng)用戶數(shù)很多時(shí)非常耗費(fèi)資源，且性能很容易下降。如果兩者都部署在AP上，則AP既要偵聽學(xué)習(xí)表項(xiàng)，又要維護(hù)IP Source Guard表項(xiàng)，并以此過濾數(shù)據(jù)報(bào)文，性能也會(huì)有一定的影響。另外，不同AP之間仍然存在IP仿冒問題。比如一個(gè)AP上有用戶使用了某個(gè)IP后，其它AP上某用戶仿冒同一IP，發(fā)送DHCPv6 Confirm報(bào)文（也是合法的DHCP交互過程，用于重新確認(rèn)分配的地址），則原始AP上并不能及時(shí)知曉。

因此在WLAN環(huán)境下，Comware采用了新的源地址驗(yàn)證模型，通過對WLAN原有的MAC驗(yàn)證機(jī)制、漫游機(jī)制進(jìn)行擴(kuò)展，在AC/AP架構(gòu)下，在AP上采用類似于DHCPv6 Snooping，ND Snooping的機(jī)制，生成基于用戶的IPv6地址相關(guān)信息，并采用IPv6 Source Guard進(jìn)行IPv6源地址驗(yàn)證；在向AC同步用戶信息表時(shí)，同步用戶的IPv6信息以及對應(yīng)的IPv6地址生命期等相關(guān)信息，在用戶漫游后向新AP同步對應(yīng)的信息生成新的用戶信息表；在AC上生成所有同鏈路用戶IPv6地址信息總表，在每個(gè)新用戶IPv6地址上報(bào)給AC時(shí)進(jìn)行唯一性對比，防止同一鏈路內(nèi)的IPv6地址偽造（如圖5所示）。

圖5無線SAVI

通過上述技術(shù)，擴(kuò)展了WLAN原有的用戶驗(yàn)證技術(shù)，使用基于每用戶的IPv6地址表進(jìn)行IPv6用戶查找，速度更快，更易于維護(hù)；并解決了WLAN網(wǎng)絡(luò)中，存在漫游的情況下保證對用戶進(jìn)行IPv6源地址驗(yàn)證的問題。

三、 結(jié)合Portal認(rèn)證，保證IPv6接入的可管理性

前面討論的對源地址驗(yàn)證方法，解決了用戶偽造報(bào)文的問題。這樣，我們就可以通過用戶IPv6地址來唯一標(biāo)識(shí)用戶身份，將其與用戶一一對應(yīng)起來，也可以使用跨越三層路由器的身份識(shí)別，從而方便的對用戶的上網(wǎng)行為進(jìn)行管理，包括認(rèn)證、授權(quán)和計(jì)費(fèi)。典型的基于IP進(jìn)行身份識(shí)別的認(rèn)證技術(shù)為Portal認(rèn)證，通常也稱為Web認(rèn)證。

在部署了Portal的網(wǎng)絡(luò)中，未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，認(rèn)證通過后，設(shè)備才允許此用戶的IPv6地址使用互聯(lián)網(wǎng)資源。

Comware平臺(tái)所實(shí)現(xiàn)的Portal認(rèn)證功能，支持本地Portal服務(wù)器功能，即Portal認(rèn)證系統(tǒng)中不采用外部獨(dú)立的Portal服務(wù)器，而由接入設(shè)備實(shí)現(xiàn)Portal服務(wù)器功能。這種情況下，Portal認(rèn)證系統(tǒng)僅包括三個(gè)基本要素：認(rèn)證客戶端、接入設(shè)備和認(rèn)證/計(jì)費(fèi)服務(wù)器。由于設(shè)備支持Web用戶直接認(rèn)證，因此就不需要部署額外的Portal服務(wù)器，增強(qiáng)了Portal認(rèn)證的通用性。在無線應(yīng)用環(huán)境中，可以給屬于不同SSID（Service Set Identifier，服務(wù)集識(shí)別碼）的用戶綁定不同的認(rèn)證頁面，從而提供差異化服務(wù)。

四、結(jié)束語

IPv6源地址驗(yàn)證技術(shù)（SAVI），保證了網(wǎng)絡(luò)上每一個(gè)用戶所發(fā)報(bào)文的源地址的可靠性，Portal認(rèn)證保證了IPv6用戶的可管理性，將Portal與IPv6源地址驗(yàn)證有效結(jié)合，將有力保證用戶上網(wǎng)的易用性和安全性，并對用戶IPv6流量進(jìn)行統(tǒng)一管理，保證網(wǎng)絡(luò)維護(hù)的簡潔和易操作性。

fanz