《IPV6組網(wǎng)技術(shù)與實踐》 課件 11：保護IPv6網(wǎng)絡(luò)安全技術(shù)-4

單元11保護IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護；面臨ND協(xié)議欺騙，需要實施NDSnooping安全等安全防護。在針對不同區(qū)域網(wǎng)絡(luò)之間安全防護時，還需要實施ACL6安全?！緦W習目標】1.知識目標（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護技術(shù)。（4）了解中ACL6安全技術(shù)?！緦W習目標】2.技能目標（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護。（4）實施ACL6安全技術(shù)。【學習目標】3.素養(yǎng)目標（1）學會整理知識筆記，按照標準格式制作實訓報告。（2）能保持工作環(huán)境干凈，實現(xiàn)物料放置地整潔，遵守6S現(xiàn)場管理標準。（3）學會和同伴友好溝通，建立友好團隊合作關(guān)系。（4）在實訓現(xiàn)場具有良好安全意識，懂得安全操作知識，嚴格按照安全標準流程操作。任務(wù)11.4

實施ACL6安全【技術(shù)介紹】11.4.1什么是ACL6ACL6即IPv6ACL，指在IPv6網(wǎng)絡(luò)中過濾IPv6報文的訪問控制列表技術(shù)。ACL6對進出IPv6網(wǎng)絡(luò)中IPv6報文控制，阻止或允許特定IPv6報文進入網(wǎng)絡(luò)，控制IPv6網(wǎng)絡(luò)中特定的用戶訪問網(wǎng)絡(luò)目的。ACL6通過配置規(guī)則對特定IPv6數(shù)據(jù)包過濾。根據(jù)設(shè)定策略，允許或禁止相應IPv6數(shù)據(jù)包通過。和IPv4網(wǎng)絡(luò)中實施ACL規(guī)則一樣，ACL6規(guī)則對IPv6數(shù)據(jù)包分類，網(wǎng)絡(luò)設(shè)備根據(jù)這些規(guī)則，判斷哪些IPv6數(shù)據(jù)包可以接收，哪些IPv6數(shù)據(jù)包被拒絕。11.4

在IPv6網(wǎng)絡(luò)中實施ACL6安全【技術(shù)介紹】1.ACL6匹配內(nèi)容ACL6匹配順序與過濾IPv4中ACL規(guī)則相同，也使用IPv6數(shù)據(jù)包中組成元素，控制IPv6數(shù)據(jù)包通過與否。如圖所示5元素組合，能標識某數(shù)據(jù)包來龍（即源地址、源端口）、去脈（即目的地址、目的端口）和通信方式（協(xié)議號），唯一標識某一個IPv6數(shù)據(jù)包。11.4在IPv6網(wǎng)絡(luò)中實施ACL6安全【技術(shù)介紹】2.ACL6匹配的順序如下創(chuàng)建一條ACL6規(guī)則，允許所有IPv6數(shù)據(jù)通過，后面語句將不被檢查。Router(config)#ipv6access-listipv6_acl_name//創(chuàng)建名稱為ipv6_acl規(guī)則Router(config-ipv6-nacl)#permitipv6anyany//允許所有ipv6報文通過Router(config-ipv6-nacl)#denyipv6host200::1any//拒絕2001::1報文通過第一條規(guī)則允許所有IPv6報文通過，從主機200::1上發(fā)出IPv6報文無法和后面那條deny規(guī)則匹配。設(shè)備在檢查到報文和第一條規(guī)則匹配，便不再檢查后面規(guī)則。11.4在IPv6網(wǎng)絡(luò)中實施ACL6安全【技術(shù)介紹】11.4.3配置ACL6規(guī)則（1）創(chuàng)建ACL6訪問控制列表。在配置模式下，使用如下命令創(chuàng)建一個ACL6列表。Router(config)#ipv6access-listacl-name//進入ACL6配置模式（2）配置ACL6訪問控制列表匹配規(guī)則。在ACL6訪問控制列表模式下，使用如下命令配置一條規(guī)則。Router(config-ipv6-nacl)#[sn]{permit|deny}protocol{src-ipv6-prefix/prefix-len|hostsrc-ipv6-addr|any}{dst-ipv6-pfix/pfix-len|hostdst-ipv6-addr|any}[opdstport|rangelowerupper][dscpdscp][flow-labelflow-label][fragment][time-rangetm-rng-name]【技術(shù)介紹】11.4.3配置ACL6規(guī)則其中，各項參數(shù)說明如下。sn：規(guī)則表序號，取值范圍為[1~2147483647]。permit：表示規(guī)則允許通過。deny：表示規(guī)則禁止通過。protocol：IPv6協(xié)議，包括icmp、ipv6、tcp、udp。src-ipv6-prefix/prefix-len：表示匹配某一個IPv6網(wǎng)段內(nèi)主機發(fā)出報文。hostsrc-ipv6-addr：表示要匹配源IP為某一臺主機發(fā)出IPv6報文。any：表示要匹配任意主機發(fā)出的IPv6報文。dst-ipv6-pfix/pfix-len：表示匹配某一IPv6網(wǎng)段內(nèi)主機IPv6報文。hostdst-ipv6-addr：表示要匹配某一臺主機IPv6報文。any：表示匹配發(fā)往任意主機IPv6報文。【技術(shù)介紹】11.4.3配置ACL6規(guī)則opdstport：表示要匹配TCP或UDP報文中目的端口，op參數(shù)可以是eq、neq、gt、lt，對應等于、不等于、大于、小于四個不同操作。rangelowerupper：表示匹配TCP或UDP報文中某個范圍內(nèi)端口。dscpdscp：表示要匹配IPv6報文頭部dscp域。flow-labelflow-label：表示要匹配IPv6報文頭部流標簽域。fragment：表示匹配非首片的IPv6分片報文。time-rangetime-range-name：在指定時間區(qū)間內(nèi)該規(guī)則才生效?！炯夹g(shù)介紹】11.4.3配置ACL6規(guī)則（3）應用ACL6訪問控制列表。在接口模式下，使用如下命令讓ACL6在指定接口上生效。Router(config-if)#ipv6traffic-filteracl-name{in|out}其中，各項參數(shù)說明如下。acl-name：ACL6訪問控制列表名稱。in：表示對進入該接口的IPv6報文進行控制。out：表示對從該接口發(fā)出的IPv6報文進行控制。（4）查看規(guī)則。Router#showaccess-lists[acl-ame]//查看基本訪問列表Router#showipv6traffic-filter[interfaceinterface-name]//顯示接口上應用ACL6【技術(shù)介紹】11.4.3配置ACL6規(guī)則（5）關(guān)于隱含“拒絕所有數(shù)據(jù)流”規(guī)則。在每條IPv6訪問控制列表末尾，隱含著一條“拒絕所有IPv6數(shù)據(jù)流”規(guī)則。Router(config)#ipv6access-listipv6_aclRouter(config-ipv6-nacl)#permitipv6host200::1any這條訪問控制列表最后包含了一條規(guī)則：denyipv6anyany。需要注意的是：IPv6訪問控制列表默認拒絕所有IPv6報文，但不會過濾ND報文。【任務(wù)實施】【技術(shù)實踐1】使用ACL6實現(xiàn)IPv6網(wǎng)絡(luò)之間安全訪問【任務(wù)描述】如圖所示，通過配置ACL6禁止開發(fā)部計算機訪問網(wǎng)絡(luò)中心視頻服務(wù)器?！炯夹g(shù)實踐1】使用ACL6實現(xiàn)IPv6網(wǎng)絡(luò)之間安全訪問【實施步驟】（1）按照拓撲完成組網(wǎng)。按照拓撲組網(wǎng)，完成網(wǎng)絡(luò)場景組建。盡量按照拓撲上接口連接組網(wǎng)，如果有相應的接口變化，相應修改如下接口名稱，配置信息沒有變化?！炯夹g(shù)實踐1】使用ACL6實現(xiàn)IPv6網(wǎng)絡(luò)之間安全訪問【實施步驟】（2）配置ACL6訪問控制列表中規(guī)則?！炯夹g(shù)實踐1】使用ACL6實現(xiàn)IPv6網(wǎng)絡(luò)之間安全訪問（3）將ACL6列表應用在開發(fā)部接口入方向。【技術(shù)實踐1】使用ACL6實現(xiàn)IPv6網(wǎng)絡(luò)之間安全訪問（4）測試效果。通過以下方法檢驗IPv6訪問列表配置效果。①通過ping檢查IPv6訪問列表是否在指定接口上生效。如IPv6訪問列表里配置禁止某臺IPv6主機或某個IPv6地址范圍內(nèi)主機不允許訪問網(wǎng)絡(luò)，通過ping方式驗證。②通過訪問網(wǎng)絡(luò)資源方式檢驗IPv6訪問列表是否在指定接口上生效，如訪問IPv6網(wǎng)站。從開發(fā)部某臺PC機上ping視頻服務(wù)器，確認ping不通?！炯夹g(shù)實踐2】使用NDSnooping保護DHCPv6服務(wù)器安全【任務(wù)描述】某部門由于網(wǎng)絡(luò)中沒有部署DHCPv6服務(wù)器，只能通過無狀態(tài)自動配置方式獲取IPv6地址。如果網(wǎng)絡(luò)中有攻擊，發(fā)送非法NA/NS/RS/RA報文，存在安全隱患。希望在Switch對非法NA/NS/RS/RA實施有效防范，提供安全的網(wǎng)絡(luò)環(huán)境。【技術(shù)實踐2】使用NDSnooping保護DHCPv6服務(wù)器安全【實施步驟】（1）按照拓撲完成組網(wǎng)。按照拓撲組網(wǎng)，完成網(wǎng)絡(luò)場景組建。盡量按照拓撲上接口連接組網(wǎng)，如果有相應的接口變化，相應修改如下接口名稱，配置信息沒有變化。【技術(shù)實踐2】使用NDSnooping保護DHCPv6服務(wù)器安全【實施步驟】（2）在Switch上創(chuàng)建VLAN10，分配接口到vlan中。