- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
18-SMA配置
本章节下载: 18-SMA配置 (176.25 KB)
此特性在配置了如下型号板卡及固定以太网接口的路由器上支持:
|
板卡 |
型号 |
说明 |
|
主控板 |
CRSE-X3 |
必配 |
|
线卡 |
CFIP-300/CFIP-310 |
必配 |
|
以太网接口卡 |
请参见《H3C SR6600-F路由器 接口模块手册》中的所有以太网接口卡 |
选配 |
SMA(State Machine based Anti-spoofing,基于状态机的伪造源地址检查)是一种IPv6自治系统间端到端的源地址验证方案,用来防止伪造源IPv6地址的攻击。
图1-1 SMA体系结构
· 信任联盟:彼此信任的一组AS(Autonomous System,自治系统)组成的集合,通过信任联盟号来标识。信任联盟内的AS称为成员AS。
· AS对:报文的源AS与目的AS组成了一个有序的AS对,每一个AS对被关联一个用来生成和更新标签的状态机,标签被源AS的AER添加到报文中,被目的AS的AER检查,从而验证报文源地址的正确性。
· REG(Registration Center,联盟注册中心):REG负责收集ACS(AS Control Server,AS控制服务器)的注册信息,并将注册信息通知给同一个信任联盟内的各个成员ACS,使得ACS获悉哪些ACS与其属于同一个信任联盟。
· ACS:ACS负责与REG以及同一信任联盟的其他ACS通信,并负责管理本AS的AER(AS Edge Router,AS边界路由器)。具体来讲,ACS具有如下功能:
¡ 向REG注册成为某个或某几个信任联盟的成员。
¡ 接收到REG回应的注册信息后,与属于相同信任联盟中的其他ACS建立连接,交互各AS内的IPv6地址前缀、状态机等信息。
¡ 将本地及从信任联盟中的其他ACS学习到的IPv6地址前缀、标签等信息发送给本AS的AER。
· AER:负责接收ACS通告的IPv6地址前缀、标签等信息,并在自治系统之间转发报文。AER上的接口分为两类:
¡ Ingress接口:连接到本AS内未使能SMA特性的路由器的接口。
¡ Egress接口:连接到其它AS内AER的接口。
为了提高安全性,REG与ACS、ACS之间、ACS与AER之间的通信均基于SSL(Secure Sockets Layer,安全套接字层)连接。
目前,设备只能作为AER。
SMA通过检查报文的源IPv6地址和报文标签实现对伪造源IPv6地址攻击的防御。
AER从Ingress接口收到源自本AS的报文并发往其他AS时,根据IPv6地址前缀检查报文源IPv6地址是否属于本AS。若是,则转发到Egress接口进行处理;否则丢弃报文。Egress接口收到报文后,首先检查源地址是否属于本地AS,若是,则继续检查目的地址;否则直接转发。之后通过检查报文目的地址确认报文是否属于信任联盟内其他AS,若是,则对报文添加标签并转发;否则,直接转发。
当AER从Egress接口接收到报文后,将检查报文标签。若标签存在,则通过查找报文的源目的AS确定唯一的AS对,并通过AS对查找对应标签。AER将根据查找到的标签与报文标签进行比对,如果标签相同则去掉标签转发报文;否则丢弃报文。
若报文有标签,而相应的AS对查找不到对应的标签,则去掉报文标签并转发报文;
若报文无标签,而相应的AS对可以查找到对应的标签,报文将被丢弃;
若报文无标签,相应的AS对也查找不到对应的标签,则报文将被直接转发。
这样就可以保证源自本AS的报文无法被伪造,并避免源IPv6地址被篡改的报文进入本AS。
|
开启SMA功能 |
缺省情况下,SMA功能处于关闭状态 |
|
|
配置AER与ACS之间建立SSL连接 |
sma-anti-spoof ipv6 server ipv6-address ssl-client-policy policy-name |
缺省情况下,AER与ACS之间未建立SSL连接 SSL客户端策略的配置方法,请参见“安全配置指导”中的“SSL” |
|
配置SMA的接口类型 |
缺省情况下,接口未配置SMA的接口类型 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后AER的运行情况,通过查看显示信息验证配置的效果。
表1-2 SMA的显示和维护
|
显示所有AS的地址前缀信息 |
|
|
显示所有AS对的标签信息 |
· AER 1与ACS 1位于AS 100,AER 2与ACS 2位于AS 200。
· 在同一AS内的AER与ACS之间分别建立SSL连接,在AER上可以收到由ACS发送的IPv6地址前缀及标签信息。AER将根据该地址前缀及标签信息检查报文,防止伪造源IPv6地址的攻击。
图1-2 SMA典型配置组网图
# ACS配置参见相关资料,具体配置过程略。
# 按照组网图配置AER 1的接口地址,配置过程略。
# 在AER 1上创建名称为sma的SSL客户端策略。
[AER1] ssl client-policy sma
# 缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证,确认服务器身份是否合法。如果不需要对服务器端进行验证,可以选择关闭该功能。
[AER1-ssl-client-policy-sma] undo server-verify enable
[AER1-ssl-client-policy-sma] quit
# 在AER 1上使能SMA功能并与ACS 1建立SSL连接。
[AER1] sma-anti-spoof ipv6 enable
[AER1] sma-anti-spoof ipv6 server 2001::1 ssl-client-policy sma
# 指定AER 1的SMA接口类型。
[AER1] interface gigabitethernet 2/0/2
[AER1-GigabitEthernet2/0/2] sma-anti-spoof ipv6 port-type ingress
[AER1-GigabitEthernet2/0/2] quit
[AER1] interface gigabitethernet 2/0/3
[AER1-GigabitEthernet2/0/3] sma-anti-spoof ipv6 port-type egress
[AER1-GigabitEthernet2/0/3] quit
# 按照组网图配置AER 2的接口地址,配置过程略。
# 在AER 2上创建名称为sma的SSL客户端策略。
[AER2] ssl client-policy sma
# 缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证,确认服务器身份是否合法。如果不需要对服务器端进行验证,可以选择关闭该功能。
[AER2-ssl-client-policy-sma] undo server-verify enable
[AER2-ssl-client-policy-sma] quit
# 在AER 2上使能SMA功能并与ACS 2建立SSL连接。
[AER2] sma-anti-spoof ipv6 enable
[AER2] sma-anti-spoof ipv6 server 2002::1 ssl-client-policy sma
# 指定AER 2的SMA接口类型。
[AER2] interface gigabitethernet 2/0/2
[AER2-GigabitEthernet2/0/2] sma-anti-spoof ipv6 port-type ingress
[AER2-GigabitEthernet2/0/2] quit
[AER2] interface gigabitethernet 2/0/3
[AER2-GigabitEthernet2/0/3] sma-anti-spoof ipv6 port-type egress
[AER2-GigabitEthernet2/0/3] quit
# 配置完成后,在AER上可以看到从ACS接收到的地址前缀和标签信息。AER将根据获取到的地址前缀及标签信息检查IPv6报文,实现防止伪造源IPv6地址攻击的功能。
[AER1] display sma-anti-spoof ipv6 address-prefix
Alliance number: 0 AS number: 200
IPv6 prefix Effecting time
FF::/16 May 5 07:00:11 2014(i)
Alliance number: 0 AS number: 200
IPv6 prefix Effecting time
EE::/16 May 5 07:00:11 2014(i)
[AER1] display sma-anti-spoof ipv6 packet-tag
Alliance number: 0
Source AS number: 100 Destination AS number: 200
State machine ID: 100 Tag: 0xAB12
Effecting time: May 5 07:00:11 2014(i) Transition interval: 3600s
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
