IPv6 无状态地址自动配置 (SLAAC) 侦听
了解 SLAAC 侦听
由于 IPv4 上的地址空间大幅增加,动态地址分配是 IPv6 的重要功能。除了静态寻址,IPv6 还为客户端提供了两个动态获取地址的选项:DHCPv6(有状态)和无状态地址自动配置 (SLAAC)。
SLAAC 可提供即插即用 IP 连接,而无需手动配置主机,从而简化 IPv6 地址管理。SLAAC 允许 IPv6 客户端使用本地可用信息和路由器通过邻居发现协议 (NDP) 通告的信息组合生成自己的地址。
NDP 消息不安全,这使得 SLAAC 容易受到涉及链路层地址欺骗(或伪造)的攻击。您必须配置 SLAAC 侦听,才能使用 SLAAC 验证 IPv6 客户端,然后才能允许其访问网络。
SLAAC 进程
客户端开始自动配置,方法是为支持 IPv6 的接口生成链路本地地址。这是通过将播发的链路本地前缀(前 64 位)与接口标识符(最后 64 位)相结合来实现的。该地址根据以下格式生成:[fe80(10 位)+ 0(54 位)] + interface ID (64 位)。
在将链路本地地址分配至其接口之前,客户端可通过运行重复地址检测 (DAD) 来验证地址。DAD 会发送发送到新地址的邻居请求消息。如果有回复,则地址为重复,进程将停止。如果地址是唯一的,则将其分配给接口。
要生成全局地址,客户端将发送路由器请求消息,提示链路上的所有路由器发送路由器通告 (RA) 消息。启用支持 SLAAC 的路由器将发送包含子网前缀的 RA,供邻接主机使用。客户端将接口标识符附加到子网前缀以形成全局地址,然后再次运行 DAD 确认其独特性。
SLAAC 侦听
SLAAC 面临与 NDP 相同的安全漏洞。您可以配置 SLAAC 侦听,以便使用 SLAAC 进行动态地址分配来保护 IPv6 客户端的流量。有关 NDP 的详细信息,请参阅 IPv6 邻居发现检测。
SLAAC 侦听类似于 DHCP 侦听,它侦听数据包以构建 IP-MAC 地址绑定表。SLAAC 侦听从 SLAAC 过程中交换的 DAD 数据包中提取地址信息,以构建 SLAAC 侦听表。此表中的地址绑定用于检查和验证 IPv6 客户端使用 SLAAC 发送的 NDP/IP 数据包。
配置 SLAAC 侦听
基于 VLAN 启用 SLAAC 侦听。默认情况下,所有 VLAN 均禁用 SLAAC 侦听。
要启用 SLAAC,请使用以下命令:
配置自动爸爸
如果客户端上的 DAD 禁用,或者 DAD 数据包因流量拥塞而丢弃,SLAAC 侦听将代表客户端执行自动DAD。客户端生成的地址处于试探性状态,直至 DAD 流程完成。
Auto-DAD 发送邻接方请求消息,并将客户端生成的地址作为目标,并等待邻居通告作为回应。如果有响应,则地址是重复的,无法分配给客户端。如果没有响应,则地址将得到确认。
默认情况下,自动-DAD 等待响应的时间为 1 秒,无需重述。您可以配置重述的数量和传输之间的间隔长度。
在 MAC 移动期间,第一个邻接方请求数据包将导致 SLAAC 条目与旧端口齐平,第二个接口将导致为新端口创建 SLAAC 条目。
要配置自动 DAD 参数的重述数量,请使用以下命令:
要配置自动-DAD 传输之间的间隔,请使用以下命令:
对于特定接口:
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name auto-dad retrans-interval seconds
对于所有接口:
[edit] user@switch# set forwarding-options access-security slaac-snooping interface all auto-dad retrans-interval seconds
配置链路本地地址到期
SLAAC 学习的链路本地地址的默认到期期为 1 天。当地址的租约到期时,侦听设备会发送一条 DAD 消息,其中以客户端地址为目标。如果客户仍可到达,租赁将续期。
要配置到期期的长度,请使用以下命令:
[edit] user@switch# set forwarding-options access-security slaac-snooping link-local expiry interval seconds
配置允许的 DAD 争用
您可以配置接口的最大 DAD 争用(邻居请求或邻接方广告)消息数。如果在允许的时间间隔内超过了最大争用数,则接口被视为无效,并且 SLAAC 侦听表不会针对该客户端更新任何绑定。
允许的最大争用数按接口配置,以允许属于多个 VLAN 的接口。
要配置 DAD 争用的最大数量和允许的时间间隔,请使用以下命令:
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name max-allowed-contention count integer duration seconds
将接口配置为可信的 SLAAC 侦听
将接口配置为可信接口时,会使用与不可信接口相同的流程将接口的绑定条目添加到 SLAAC 侦听表中。
当在可信端口上收到已在不可信端口上存在的 IP/MAC 条目的 DAD 请求时,SLAAC 侦听会将单播 DAD 发送至不受信任的端口,以查看主机是否实时存在。
如果主机在不可信端口上回复 NA 消息,则现有绑定条目的租赁时间将延长。
如果不可信端口上没有响应 (NA),则会删除相应的绑定条目。
如果不可信端口的条目被删除,则不会立即创建可信端口的绑定。当可信端口开始发送数据流量时,它将发送一条 NS 消息。当时,SLAAC 侦听在可信端口上添加了新的绑定。
无论接收端口的 SLAAC 条目如何,在可信端口上收到的路由器通告数据包都会被淹没到该 VLAN 中的所有端口。
最大 DAD 争用数不适用于可信接口。
要将接口配置为可信的 SLAAC 侦听,请使用以下命令:
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name mark-interface trusted
配置持久 SLAAC 侦听绑定
DHCP 侦听数据库文件中的 IP-MAC 绑定不持久。如果重新启动交换机,则绑定将丢失。您可以为 SLAAC 侦听数据库文件的存储位置指定本地路径名或远程 URL,以配置持久绑定。
要配置用于 SLAAC 侦听的持久绑定,请使用以下命令:
[edit] user@switch# set system processes slaac-snooping persistent-file (local-pathname | remote-url) write-interval seconds