• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-网络

目录

11-ND

本章节下载 11-ND  (225.47 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_WCG(V7)/05/202202/1553482_30005_0.htm

11-ND

ND

 

本帮助主要介绍以下内容:

·     特性简介

¡     IP-MAC绑定

¡     ND协议

·     配置指南

¡     IP-MAC绑定表项

¡     ND表项

特性简介

IP-MAC绑定

为增强设备的安全性,系统提供了IP-MAC绑定功能,即在设备上建立IPv6地址与MAC地址的对应关系即IP-MAC绑定表项,并基于该表项实现报文的过滤控制。该功能适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IPv6地址或者MAC地址向设备发送的伪造IP报文。

ND协议

IPv6邻居发现(Neighbor DiscoveryND)协议使用五种类型的ICMPv6消息(如下表所示),实现地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等功能。

表-1 ICMPv6消息

ICMPv6消息

类型号

作用

邻居请求消息NSNeighbor Solicitation

135

获取邻居的链路层地址

验证邻居是否可达

进行重复地址检测

邻居通告消息NANeighbor Advertisement

136

NS消息进行响应

节点在链路层变化时主动发送NA消息,向邻居节点通告本节点的变化信息

路由器请求消息RSRouter Solicitation

133

节点启动后,通过RS消息向路由器发出请求,请求前缀和其他配置信息,用于节点的自动配置

路由器通告消息RARouter Advertisement

134

RS消息进行响应

在没有抑制RA消息发布的条件下,路由器会周期性地发布RA消息,其中包括前缀信息选项和一些标志位的信息

重定向消息(Redirect

137

当满足一定的条件时,缺省网关通过向源主机发送重定向消息,使主机重新选择正确的下一跳地址进行后续报文的发送

 

配置指南

IP-MAC绑定表项

IP-MAC绑定表项可以通过手工配置和批量生成两种方式进行创建。

·     手工配置绑定表项是指通过手工方式逐条配置IP-MAC绑定表项。该方式适用于局域网络中主机较少的情况。

·     批量生成绑定表项是指通过指定接口下的ND表项生成对应的IP-MAC绑定表项。该方式适用于局域网络中主机较多的情况。

配置IP-MAC绑定表项可以增加通信的安全性。设备收到报文后,提取报文头中的源IPv6地址和源MAC地址,并与IP-MAC绑定表项进行匹配。如果源IPv6地址和源MAC地址与IP-MAC绑定表项一致,则转发该报文;如果不一致,则认为该报文是非法报文,并将其丢弃。对于IPv6地址与MAC地址在IP-MAC绑定表项中都无匹配项的报文,则根据配置的缺省动作放行或丢弃。

若要使IP-MAC绑定表项生效,则需要在指定接口下开启IP-MAC接口绑定功能。开启IP-MAC接口绑定功能后,设备会对该接口上入方向的报文进行IP地址与MAC地址绑定关系的检测。

ND表项

邻居表项保存的是设备在链路范围内的邻居信息,设备邻居表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,也可以通过手工配置来静态创建。

目前,静态邻居表项有两种配置方式:

·     配置本节点的三层接口相连的邻居节点的IPv6地址和链路层地址。

·     配置本节点VLAN中的二层端口相连的邻居节点的IPv6地址和链路层地址。

对于VLAN接口,可以采用上述两种方式来配置静态邻居表项:

·     采用第一种方式配置静态邻居表项后,设备还需要解析该VLAN下的二层端口信息。

采用第二种方式配置静态邻居表项后,需要保证该二层端口属于指定的VLAN,且该VLAN已经创建了VLAN接口。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们