选择区域语言: EN CN HK

11-安全配置指导

25-SMA配置

本章节下载  (173.48 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600-X/Configure/Operation_Manual/H3C_SR6600_SR6600-X_CG-R7607-6W101/11/201705/992998_30005_0.htm

25-SMA配置


1 SMA

1.1  SMA简介

SMA(State Machine based Anti-spoofing,基于状态机的伪造源地址检查)是一种IPv6自治系统间端到端的源地址验证方案,用来防止伪造源IPv6地址的攻击。

1.1.1  SMA体系结构

图1-1 SMA体系结构

 

图1-1所示,SMA体系主要包括如下部分:

·     信任联盟:彼此信任的一组AS(Autonomous System,自治系统)组成的集合,通过信任联盟号来标识。信任联盟内的AS称为成员AS。

·     AS对:报文的源AS与目的AS组成了一个有序的AS对,每一个AS对被关联一个用来生成和更新标签的状态机,标签被源AS的AER添加到报文中,被目的AS的AER检查,从而验证报文源地址的正确性。

·     REG(Registration Center,联盟注册中心):REG负责收集ACS(AS Control Server,AS控制服务器)的注册信息,并将注册信息通知给同一个信任联盟内的各个成员ACS,使得ACS获悉哪些ACS与其属于同一个信任联盟。

·     ACS:ACS负责与REG以及同一信任联盟的其他ACS通信,并负责管理本AS的AER(AS Edge Router,AS边界路由器)。具体来讲,ACS具有如下功能:

¡     向REG注册成为某个或某几个信任联盟的成员。

¡     接收到REG回应的注册信息后,与属于相同信任联盟中的其他ACS建立连接,交互各AS内的IPv6地址前缀、状态机等信息。

¡     将本地及从信任联盟中的其他ACS学习到的IPv6地址前缀、标签等信息发送给本AS的AER。

·     AER:负责接收ACS通告的IPv6地址前缀、标签等信息,并在自治系统之间转发报文。AER上的接口分为两类:

¡     Ingress接口:连接到本AS内未使能SMA特性的路由器的接口。

¡     Egress接口:连接到其它AS内AER的接口。

为了提高安全性,REG与ACS、ACS之间、ACS与AER之间的通信均基于SSL(Secure Sockets Layer,安全套接字层)连接。

目前,设备只能作为AER。

1.1.2  SMA工作原理

SMA通过检查报文的源IPv6地址和报文标签实现对伪造源IPv6地址攻击的防御。

1. AER发送报文时的处理过程

AER从Ingress接口收到源自本AS的报文并发往其他AS时,根据IPv6地址前缀检查报文源IPv6地址是否属于本地AS。若是,则转发到Egress接口进行处理;否则丢弃报文。Egress接口收到报文后,首先检查源地址是否属于本地AS,若是,则继续检查目的地址;否则直接转发。之后通过检查报文目的地址确认报文是否属于信任联盟内其他AS,若是,则对报文添加标签并转发;否则,直接转发。

2. AER接收报文时的处理过程

当AER从Egress接口接收到报文后,将检查报文标签。若标签存在,则通过查找报文的源目的AS确定唯一的AS对,并通过AS对查找对应标签。AER将根据查找到的标签与报文标签进行比对,如果标签相同则去掉标签转发报文;否则丢弃报文。

若报文有标签,而相应的AS对查找不到对应的标签,则去掉报文标签并转发报文;

若报文无标签,而相应的AS对可以查找到对应的标签,报文将被丢弃;

若报文无标签,相应的AS对也查找不到对应的标签,则报文将被直接转发。

这样就可以保证源自本AS的报文无法被伪造,并避免源IPv6地址被篡改的报文进入本AS。

1.2  配置SMA

SMA运行过程中,需要保证联盟内各设备(REG、ACS、AER)的时间同步。因此在配置SMA功能之前,请手动调整各设备的系统时间。AER设备的系统时间可以使用命令clock datetime配置,关于该命令的详细介绍,请参见“基础配置指导”中的“设备管理”。

表1-1 配置SMA

操作

命令

说明

进入系统视图

system-view

-

开启SMA功能

sma-anti-spoof ipv6 enable

缺省情况下,SMA功能处于关闭状态

配置AER与ACS之间建立SSL连接

sma-anti-spoof ipv6 server ipv6-address ssl-client-policy policy-name

缺省情况下,AER与ACS之间未建立SSL连接

SSL客户端策略的配置方法,请参见“安全配置指导”中的“SSL”

进入接口视图

interface interface-type interface-number

-

配置SMA的接口类型

sma-anti-spoof ipv6 port-type { ingress | egress }

缺省情况下,未配置SMA的接口类型

 

1.3  SMA显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后AER的运行情况,通过查看显示信息验证配置的效果。

表1-2 SMA显示和维护

操作

命令

显示所有AS的地址前缀信息

display sma-anti-spoof ipv6 address-prefix

显示所有AS对的标签信息

display sma-anti-spoof ipv6 packet-tag

 

1.4  SMA典型配置举例

1. 组网需求

·     AER 1与ACS 1位于AS 100,AER 2与ACS 2位于AS 200。

·     在同一AS内的AER与ACS之间分别建立SSL连接,在AER上可以收到由ACS发送的IPv6地址前缀及标签信息。AER将根据该地址前缀及标签信息检查报文,防止伪造源IPv6地址的攻击。

2. 组网图

图1-2 SMA典型配置组网图

 

3. 配置步骤

(1)     配置SMA之前,请保证联盟内各设备系统时间同步。

(2)     配置ACS

# ACS配置参见相关资料,具体配置过程略。

(3)     配置AER 1

# 按照组网图配置AER 1的接口地址,配置过程略。

# 在AER 1上创建名称为sma的SSL客户端策略。

<AER1> system-view

[AER1] ssl client-policy sma

# 缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证,确认服务器身份是否合法。如果不需要对服务器端进行验证,可以选择关闭该功能。

[AER1-ssl-client-policy-sma] undo server-verify enable

[AER1-ssl-client-policy-sma] quit

# 在AER 1上开启SMA功能并与ACS 1建立SSL连接。

[AER1] sma-anti-spoof ipv6 enable

[AER1] sma-anti-spoof ipv6 server 2001::1 ssl-client-policy sma

# 指定AER 1的SMA接口类型。

[AER1] interface gigabitethernet 2/1/2

[AER1-GigabitEthernet2/1/2] sma-anti-spoof ipv6 port-type ingress

[AER1-GigabitEthernet2/1/2] quit

[AER1] interface gigabitethernet 2/1/3

[AER1-GigabitEthernet2/1/3] sma-anti-spoof ipv6 port-type egress

[AER1-GigabitEthernet2/1/3] quit

(4)     配置AER 2

# 按照组网图配置AER 2的接口地址,配置过程略。

# 在AER 2上配置名称为sma的SSL客户端策略。

<AER2> system-view

[AER2] ssl client-policy sma

# 缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证,确认服务器身份是否合法。如果不需要对服务器端进行验证,可以选择关闭该功能。

[AER2-ssl-client-policy-sma] undo server-verify enable

[AER2-ssl-client-policy-sma] quit

# 在AER 2上开启SMA功能并与ACS 2建立SSL连接。

[AER2] sma-anti-spoof ipv6 enable

[AER2] sma-anti-spoof ipv6 server 2002::1 ssl-client-policy sma

# 指定AER 2的SMA接口类型。

[AER2] interface gigabitethernet 2/1/2

[AER2-GigabitEthernet2/1/2] sma-anti-spoof ipv6 port-type ingress

[AER2-GigabitEthernet2/1/2] quit

[AER2] interface gigabitethernet 2/1/3

[AER2-GigabitEthernet2/1/3] sma-anti-spoof ipv6 port-type egress

[AER2-GigabitEthernet2/1/3] quit

4. 验证配置

# 配置完成后,在AER上可以看到从ACS接收到的地址前缀和标签信息。AER将根据获取到的地址前缀及标签信息检查IPv6报文,实现防止伪造源IPv6地址攻击的功能。

[AER1] display sma-anti-spoof ipv6 address-prefix

Alliance number: 0                               AS number: 200

IPv6 prefix                                      Effecting time

FF::/16                                          May 5 07:00:11 2014(i)

Alliance number: 0                               AS number: 200

IPv6 prefix                                      Effecting time

EE::/16                                          May 5 07:00:11 2014(i)

[AER1] display sma-anti-spoof ipv6 packet-tag

Alliance number: 0

Source AS number: 100                            Destination AS number: 200

State machine ID: 100                            Tag: 0xAB12

Effecting time: May 5 07:00:11 2014(i)           Transition interval: 3600s

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!