- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-SMA配置
本章节下载: 20-SMA配置 (255.09 KB)
目 录
SMA(State Machine based Anti-spoofing,基于状态机的伪造源地址检查)是一种IPv6自治系统间端到端的源地址验证方案,用来防止伪造源IPv6地址的攻击。
图1-1 SMA体系结构
如图1-1所示,SMA体系主要包括如下部分:
· 信任联盟:彼此信任的一组AS(Autonomous System,自治系统)组成的集合,通过信任联盟号来标识。信任联盟内的AS称为成员AS。
· AS对:报文的源AS与目的AS组成了一个有序的AS对,每一个AS对被关联一个用来生成和更新标签的状态机,标签被源AS的AER添加到报文中,被目的AS的AER检查,从而验证报文源地址的正确性。
· REG(Registration Center,联盟注册中心):REG负责收集ACS(AS Control Server,AS控制服务器)的注册信息,并将注册信息通知给同一个信任联盟内的各个成员ACS,使得ACS获悉哪些ACS与其属于同一个信任联盟。
· ACS:ACS负责与REG以及同一信任联盟的其他ACS通信,并负责管理本AS的AER(AS Edge Router,AS边界路由器)。具体来讲,ACS具有如下功能:
¡ 向REG注册成为某个或某几个信任联盟的成员。
¡ 接收到REG回应的注册信息后,与属于相同信任联盟中的其他ACS建立连接,交互各AS内的IPv6地址前缀、状态机等信息。
¡ 将本地及从信任联盟中的其他ACS学习到的IPv6地址前缀、标签等信息发送给本AS的AER。
· AER:负责接收ACS通告的IPv6地址前缀、标签等信息,并在自治系统之间转发报文。AER上的接口分为两类:
¡ Ingress接口:连接到本AS内未使能SMA特性的路由器的接口。
¡ Egress接口:连接到其它AS内AER的接口。
为了提高安全性,REG与ACS、ACS之间、ACS与AER之间的通信均可配置为基于SSL(Secure Sockets Layer,安全套接字层)的连接。
目前,设备只能作为AER。
SMA通过检查报文的源IPv6地址和报文标签实现对伪造源IPv6地址攻击的防御。
AER从Ingress接口收到源自本AS的报文并发往其他AS时,根据IPv6地址前缀检查报文源IPv6地址是否属于本地AS。若是,则转发到Egress接口进行处理;否则丢弃报文。Egress接口收到报文后,首先检查源地址是否属于本地AS,若是,则继续检查目的地址;否则直接转发。之后通过检查报文目的地址确认报文是否属于信任联盟内其他AS,若是,则对报文添加标签并转发;否则,直接转发。
当AER从Egress接口接收到报文后,将检查报文标签。若标签存在,则通过查找报文的源目的AS确定唯一的AS对,并通过AS对查找对应标签。AER将根据查找到的标签与报文标签进行比对,如果标签相同则去掉标签转发报文;否则丢弃报文。
若报文有标签,而相应的AS对查找不到对应的标签,则去掉报文标签并转发报文;
若报文无标签,而相应的AS对可以查找到对应的标签,报文将被丢弃;
若报文无标签,相应的AS对也查找不到对应的标签,则报文将被直接转发。
这样就可以保证源自本AS的报文无法被伪造,并避免源IPv6地址被篡改的报文进入本AS。
SMA运行过程中,需要保证联盟内各设备(REG、ACS、AER)的时间同步。因此在配置SMA功能之前,请手动调整各设备的系统时间。AER设备的系统时间可以使用命令clock datetime配置,关于该命令的详细介绍,请参见“基础配置指导”中的“设备管理”。
仅CSPEX-1802X、CSPEX-1812X-E、CEPC-CQ8L单板支持本功能。
SMA配置任务如下:
(1) 配置SMA基本功能
(2) 开启AER设备报文过滤功能
(1) 进入系统视图。
system-view
(2) 开启SMA功能。
sma-anti-spoof ipv6 enable
缺省情况下,SMA功能处于关闭状态。
(3) 配置AER与ACS之间建立连接。
sma-anti-spoof ipv6 server ipv6-address [ ssl-client-policy policy-name ]
缺省情况下,AER与ACS之间未建立SSL连接。
如果未指定SSL客户端策略,则AER与ACS之间建立的是TCP连接。SSL客户端策略的配置方法,请参见“安全配置指导”中的“SSL”。
(4) 配置AER设备所属的AS(Autonomous System)自治域号。
sma-anti-spoof ipv6 as as-number
缺省情况下,AER设备未加入AS自治域。
(5) 进入接口视图。
interface interface-type interface-number
(6) 配置SMA的接口类型。
sma-anti-spoof ipv6 port-type { egress | ingress }
缺省情况下,未配置SMA的接口类型。
在SMA组网中,ACS与ACS之间的通信是属于跨AS的通信,因此,当目的AS的AER出现问题时,可能会阻断ACS之间的通信、进而使得问题无法恢复。为解决这一问题,目的AS内的AER对发往本AS中的ACS的报文不检查标签的正确性,而只是去除SMA-Option后将报文直接转发给ACS。
不检查ACS报文标签的准确性会使SMA组网产生安全问题。开启本功能后,AER会对发往本AS中的ACS的报文进行标签检验,并且丢弃校验失败的报文,这就可以解决网络安全问题。
(1) 进入系统视图。
system-view
(2) 开启AER设备报文过滤功能。
sma-anti-spoof ipv6 filter enable
缺省情况下,AER设备报文过滤功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后AER的运行情况,通过查看显示信息验证配置的效果。
表1-1 SMA显示和维护
|
操作 |
命令 |
|
显示所有AS的地址前缀信息 |
display sma-anti-spoof ipv6 address-prefix |
|
显示所有AS对的标签信息 |
display sma-anti-spoof ipv6 packet-tag |
· AER 1与ACS 1位于AS 100,AER 2与ACS 2位于AS 200。
· 在同一AS内的AER与ACS之间分别建立SSL连接,在AER上可以收到由ACS发送的IPv6地址前缀及标签信息。AER将根据该地址前缀及标签信息检查报文,防止伪造源IPv6地址的攻击。
图1-2 SMA基本组网图
配置SMA之前,请保证联盟内各设备系统时间同步。
(1) 配置ACS
# ACS配置参见相关资料,具体配置过程略。
(2) 配置AER 1
# 按照组网图配置AER 1的接口地址,配置过程略。
# 在AER 1上创建名称为sma的SSL客户端策略。
<AER1> system-view
[AER1] ssl client-policy sma
# 缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证,确认服务器身份是否合法。如果不需要对服务器端进行验证,可以选择关闭该功能。
[AER1-ssl-client-policy-sma] undo server-verify enable
[AER1-ssl-client-policy-sma] quit
# 在AER 1上开启SMA功能并与ACS 1建立SSL连接。
[AER1] sma-anti-spoof ipv6 enable
[AER1] sma-anti-spoof ipv6 server 2001::1 ssl-client-policy sma
# 配置AER 1所属的AS为100。
[AER1] sma-anti-spoof ipv6 as 100
# 指定AER 1的SMA接口类型。
[AER1] interface gigabitethernet 3/1/2
[AER1-GigabitEthernet3/1/2] sma-anti-spoof ipv6 port-type ingress
[AER1-GigabitEthernet3/1/2] quit
[AER1] interface gigabitethernet 3/1/3
[AER1-GigabitEthernet3/1/3] sma-anti-spoof ipv6 port-type egress
[AER1-GigabitEthernet3/1/3] quit
(3) 配置AER 2
# 按照组网图配置AER 2的接口地址,配置过程略。
# 在AER 2上配置名称为sma的SSL客户端策略。
<AER2> system-view
[AER2] ssl client-policy sma
# 缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证,确认服务器身份是否合法。如果不需要对服务器端进行验证,可以选择关闭该功能。
[AER2-ssl-client-policy-sma] undo server-verify enable
[AER2-ssl-client-policy-sma] quit
# 在AER 2上开启SMA功能并与ACS 2建立SSL连接。
[AER2] sma-anti-spoof ipv6 enable
[AER2] sma-anti-spoof ipv6 server 2002::1 ssl-client-policy sma
# 配置AER 2所属的AS为200。
[AER2] sma-anti-spoof ipv6 as 200
# 指定AER 2的SMA接口类型。
[AER2] interface gigabitethernet 3/1/2
[AER2-GigabitEthernet3/1/2] sma-anti-spoof ipv6 port-type ingress
[AER2-GigabitEthernet3/1/2] quit
[AER2] interface gigabitethernet 3/1/3
[AER2-GigabitEthernet3/1/3] sma-anti-spoof ipv6 port-type egress
[AER2-GigabitEthernet3/1/3] quit
# 配置完成后,在AER上可以看到从ACS接收到的地址前缀和标签信息。AER将根据获取到的地址前缀及标签信息检查IPv6报文,实现防止伪造源IPv6地址攻击的功能。
[AER1] display sma-anti-spoof ipv6 address-prefix
Alliance number: 0 AS number: 200
IPv6 prefix Effecting time
FF::/16 May 5 07:00:11 2014(i)
Alliance number: 0 AS number: 200
IPv6 prefix Effecting time
EE::/16 May 5 07:00:11 2014(i)
[AER1] display sma-anti-spoof ipv6 packet-tag
Alliance number: 0
Source AS number: 100 Destination AS number: 200
State machine ID: 100 Tag: 0xAB12
Effecting time: May 5 07:00:11 2014(i) Transition interval: 3600s
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
