Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Supervisión de la configuración automática de direcciones sin estado (SLAAC) de IPv6

Descripción de SLAAC Snooping

La asignación dinámica de direcciones es una característica importante de IPv6 debido al gran aumento del espacio de direcciones a través de IPv4. Además del direccionamiento estático, IPv6 ofrece dos opciones para que los clientes obtengan direcciones dinámicamente: DHCPv6 (con estado) y configuración automática de direcciones sin estado (SLAAC).

SLAAC simplifica la administración de direcciones IPv6 al proporcionar conectividad IP plug-and-play sin configuración manual de hosts. SLAAC permite que un cliente IPv6 genere sus propias direcciones utilizando una combinación de información disponible localmente e información anunciada por enrutadores a través del Protocolo de descubrimiento de vecinos (NDP).

Los mensajes NDP no son seguros, lo que hace que SLAAC sea susceptible a ataques que impliquen la suplantación (o falsificación) de direcciones de capa de vínculo. Debe configurar la supervisión de SLAAC para validar los clientes IPv6 que utilizan SLAAC antes de permitirles acceder a la red.

Proceso SLAAC

El cliente comienza la configuración automática generando una dirección local de vínculo para la interfaz habilitada para IPv6. Esto se hace combinando el prefijo local de enlace anunciado (primeros 64 bits) con el identificador de interfaz (últimos 64 bits). La dirección se genera según el siguiente formato: [fe80 (10 bits) + 0 (54 bits)] + interface ID (64 bits).

Antes de asignar la dirección local del vínculo a su interfaz, el cliente comprueba la dirección ejecutando la detección de direcciones duplicadas (DAD). DAD envía un mensaje de solicitud de vecino destinado a la nueva dirección. Si hay una respuesta, entonces la dirección es un duplicado y el proceso se detiene. Si la dirección es única, se asigna a la interfaz.

Para generar una dirección global, el cliente envía un mensaje de solicitud de enrutador para solicitar a todos los enrutadores en el vínculo que envíen mensajes de anuncio de enrutador (RA). Los enrutadores que están habilitados para admitir SLAAC envían un RA que contiene un prefijo de subred para que lo usen los hosts vecinos. El cliente anexa el identificador de interfaz al prefijo de subred para formar una dirección global y vuelve a ejecutar DAD para confirmar su exclusividad.

Espionaje SLAAC

SLAAC está sujeto a las mismas vulnerabilidades de seguridad que se encuentran en NDP. Puede configurar la supervisión de SLAAC para proteger el tráfico de clientes IPv6 mediante SLAAC para la asignación dinámica de direcciones. Para obtener más información sobre NDP, consulte Inspección de detección de vecinos IPv6.

El espionaje SLAAC es similar al espionaje DHCP, ya que espía paquetes para crear una tabla de enlaces de direcciones IP-MAC. El espionaje SLAAC extrae información de direcciones de paquetes DAD intercambiados durante el proceso SLAAC para construir la tabla de espionaje SLAAC. Los enlaces de direcciones de esta tabla se utilizan para inspeccionar y validar paquetes NDP/IP enviados por clientes IPv6 mediante SLAAC.

Configuración de la supervisión de SLAAC

La supervisión de SLAAC está habilitada por VLAN. De forma predeterminada, la supervisión de SLAAC está deshabilitada para todas las VLAN.

Para habilitar SLAAC, utilice los siguientes comandos:

  • Para habilitar SLAAC en una VLAN específica:
  • Para habilitar SLAAC en todas las VLAN:

Configuración de Auto-DAD

Si DAD está deshabilitado en el lado del cliente, o los paquetes DAD se caen debido a la congestión del tráfico, el espionaje SLAAC realizará auto-DAD en nombre del cliente. La dirección generada por el cliente se encuentra en un estado provisional hasta que se complete el proceso de DAD.

Auto-DAD envía un mensaje de solicitud de vecino con la dirección generada por el cliente como objetivo, y espera un anuncio de vecino en respuesta. Si hay una respuesta, entonces la dirección es un duplicado y no se puede asignar al cliente. Si no hay respuesta, se confirma la dirección.

La cantidad de tiempo que auto-DAD espera una respuesta es de 1 segundo de forma predeterminada, sin reintentos. Puede configurar el número de reintentos y la duración del intervalo entre transmisiones.

Nota:

Durante un movimiento de MAC, el primer paquete de solicitud de vecino dará como resultado una entrada SLAAC vacía del puerto antiguo y el segundo dará como resultado la creación de una entrada SLAAC para el nuevo puerto.

Para configurar el número de reintentos de los parámetros auto-DAD, utilice los siguientes comandos:

  • Para una interfaz específica:
  • Para todas las interfaces:

Para configurar el intervalo entre las transmisiones auto-DAD, utilice los siguientes comandos:

  • Para una interfaz específica:

  • Para todas las interfaces:

Configuración de la expiración de la dirección local del vínculo

La dirección local de vínculo aprendida por SLAAC tiene un período de vencimiento predeterminado de 1 día. Cuando expira la concesión de la dirección, el dispositivo de espionaje envía un mensaje DAD con la dirección del cliente como destino. Si el cliente aún está localizable, el contrato de arrendamiento se renueva.

Para configurar la duración del período de caducidad, utilice el siguiente comando:

Configuración de las contenciones de DAD permitidas

Puede configurar el número máximo de mensajes de contención DAD (solicitud de vecino o anuncio de vecino) para una interfaz. Si se supera el número máximo de contenciones durante el intervalo de tiempo permitido, la interfaz se considera no válida y la tabla de espionaje SLAAC no se actualiza con ningún enlace para ese cliente.

Nota:

El número máximo de contenciones permitidas se configura por interfaz, para permitir interfaces que pertenezcan a más de una VLAN.

Para configurar el número máximo de contenciones DAD y el intervalo de tiempo permitido, use el siguiente comando:

Configuración de una interfaz como de confianza para la supervisión de SLAAC

Cuando se configura una interfaz como de confianza, la entrada de enlace de la interfaz se agrega a la tabla de espionaje de SLAAC mediante el mismo proceso que para las interfaces que no son de confianza.

Cuando se recibe una solicitud DAD en un puerto de confianza con una entrada IP/MAC que ya existe en un puerto que no es de confianza, el espionaje SLAAC envía un DAD de unidifusión hacia el puerto que no es de confianza para ver si el host está activo.

  • Si el host responde con un mensaje de NA en el puerto que no es de confianza, se renueva el tiempo de concesión para la entrada de enlace existente.

  • Si no hay respuesta (NA) en el puerto que no es de confianza, se elimina la entrada de enlace correspondiente.

Si se elimina la entrada del puerto que no es de confianza, el enlace para el puerto de confianza no se crea inmediatamente. Cuando el puerto de confianza comience a enviar tráfico de datos, enviará un mensaje NS. En ese momento, el espionaje SLAAC agrega el nuevo enlace en el puerto de confianza.

Los paquetes de anuncio de enrutador recibidos en un puerto de confianza se inundan a todos los puertos de esa VLAN, independientemente de la entrada SLAAC para el puerto receptor.

Nota:

El número máximo de contenciones DAD no se aplica a las interfaces de confianza.

Para configurar una interfaz como de confianza para la supervisión de SLAAC, utilice el siguiente comando:

Configuración de enlaces de espionaje SLAAC persistentes

Los enlaces IP-MAC en el archivo de base de datos de espionaje DHCP no son persistentes. Si se reinicia el conmutador, se pierden los enlaces. Puede configurar enlaces persistentes especificando una ruta de acceso local o una dirección URL remota para la ubicación de almacenamiento del archivo de base de datos de espionaje SLAAC.

Para configurar enlaces persistentes para la supervisión de SLAAC, use el siguiente comando: