您的位置: DOIT首页 » 资讯中心 » 正文

IPv6用户的WLAN安全接入

 11年08月04日 17:00【原创】作者:林涛  责任编辑:尤佳

导读:当前,Internet网络主要还是基于IPv4协议,但IPv6网络已经开始了广泛的部署,CNGI就是其中之一。然而IPv4网络的成熟性和安全性,还没有完全的应用到IPv6网络之中。

关键词: WLAN IPv6

一、 源地址验证技术保证IPv6网络接入的安全性

Comware平台针对IPv6网络中的源地址伪造系列安全问题,提出了一系列解决方案。通过DHCPv6 Snooping特性、IPv6 Source Guard特性及ND Snooping特性建立起IPv6地址、MAC地址和端口的绑定关系表,并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。

1. DHCPv6 Snooping

安全关键词:防伪造服务器攻击,防地址欺骗攻击,防DAD攻击

DHCPv6 Snooping特性可以保证客户端从合法的服务器获取IPv6地址,并记录DHCPv6客户端IPv6地址与MAC地址的对应关系,从而防止ND攻击。

DHCPv6通过如下方式防止伪造服务器攻击:为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口(Trusted Port)和不信任端口(Untrusted Port):信任端口正常转发接收到的DHCPv6报文;不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。连接DHCPv6服务器、DHCPv6中继或其他DHCPv6 Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的伪DHCPv6服务器无法为DHCPv6客户端分配地址。

DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。然后再通过在设备接入用户侧的端口上启用IPv6 Source Guard功能,针对生成的表项,在对应端口对收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用,包括地址欺骗攻击等,提高了端口的安全性。

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册

Copyright © 2003-2012 DOIT.com.cn, All Rights Reserved

DOIT传媒 版权所有京公网安备: 110105001105
京ICP证030972号电信业务审批 [2009]字第572号
link