2. IPv6 Source Guard
安全关键词:用户的合法性检查
IPv6 Source Guard功能是针对用户的合法性检查功能,是报文中源IPv6地址和源MAC地址,检查用户是否是报文收到端口所属VLAN上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于ND Snooping表项的检查和基于DHCPv6 Snooping安全表项的检查。在这三种表项都存在的情况下,检查过程如下(图3为该过程示例):
首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IPv6地址和源MAC地址的静态绑定表项,认为该ND报文合法,进行转发。如果找到了对应源IPv6地址的静态绑定表项但源MAC地址不符,认为该ND报文非法,进行丢弃。如果没有找到对应源IPv6地址的静态绑定表项,继续进行DHCPv6 Snooping安全表项、ND Snooping安全表项检查。
在基于IP Source Guard静态绑定表项检查之后进行基于DHCPv6 Snooping安全表项、ND Snooping安全表项检查,只要符合两者中任何一个,就认为该ND报文合法,进行转发。
如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
图2 防止源地址欺骗
