ND

本帮助主要介绍以下内容:

特性简介

IP-MAC绑定

为增强设备的安全性,系统提供了IP-MAC绑定功能,即在设备上建立IPv6地址与MAC地址的对应关系即IP-MAC绑定表项,并基于该表项实现报文的过滤控制。该功能适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IPv6地址或者MAC地址向设备发送的伪造IP报文。

ND协议

IPv6邻居发现(Neighbor Discovery,ND)协议使用五种类型的ICMPv6消息(如下表所示),实现地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等功能。

表-1 ICMPv6消息

ICMPv6消息

类型号

作用

邻居请求消息NS(Neighbor Solicitation)

135

获取邻居的链路层地址

验证邻居是否可达

进行重复地址检测

邻居通告消息NA(Neighbor Advertisement)

136

对NS消息进行响应

节点在链路层变化时主动发送NA消息,向邻居节点通告本节点的变化信息

路由器请求消息RS(Router Solicitation)

133

节点启动后,通过RS消息向路由器发出请求,请求前缀和其他配置信息,用于节点的自动配置

路由器通告消息RA(Router Advertisement)

134

对RS消息进行响应

在没有抑制RA消息发布的条件下,路由器会周期性地发布RA消息,其中包括前缀信息选项和一些标志位的信息

重定向消息(Redirect)

137

当满足一定的条件时,缺省网关通过向源主机发送重定向消息,使主机重新选择正确的下一跳地址进行后续报文的发送

vSystem相关说明

非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。

配置指南

配置准备

在配置本特性之前,需要完成以下任务:

  • 配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

  • 配置路由,保证路由可达。路由在“网络 > 路由”页面配置。

  • 创建安全域。安全域在“网络 > 安全域”页面配置。

  • 配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。

  • 配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。

配置IP-MAC绑定表项

IP-MAC绑定表项可以通过手工配置和批量生成两种方式进行创建。

配置IP-MAC绑定表项可以增加通信的安全性。设备收到报文后,提取报文头中的源IPv6地址和源MAC地址,并与IP-MAC绑定表项进行匹配。如果源IPv6地址和源MAC地址与IP-MAC绑定表项一致,则转发该报文;如果不一致,则认为该报文是非法报文,并将其丢弃。对于IPv6地址与MAC地址在IP-MAC绑定表项中都无匹配项的报文,则根据配置的缺省动作放行或丢弃。

若要使IP-MAC绑定表项生效,则需要在指定接口下开启IP-MAC接口绑定功能。开启IP-MAC接口绑定功能后,设备会对该接口上入方向的报文进行IP地址与MAC地址绑定关系的检测。

IP-MAC绑定表项的具体配置步骤如下:

  1. 选择“网络 > ND”,进入ND页面。

  2. 在ND页面“配置IP-MAC绑定”下,配置批量生成IP-MAC绑定表项功能,具体的配置参数如下表所示。

    图-1 配置IP-MAC绑定

    表-2 配置IP-MAC绑定参数表

    参数

    说明

    IP-MAC绑定功能

    开启IP-MAC绑定功能

    IP-MAC接口绑定功能

    在指定接口下开启IP-MAC接口绑定功能

    在“接口列表”筛选指定接口

    单击<添加>按钮,添加的接口在“成员列表”中显示

    单击<全部添加>按钮,“接口列表”中所有接口将添加到“成员列表”

    单击<确认>按钮,保存设置

    缺省动作

    未匹配上IP-MAC绑定表项的报文处理方式,包括:

    放行

    丢弃

  3. 在ND页面的“IP-MAC绑定列表”下,单击<新建>按钮,手工配置IP-MAC绑定表项,具体的配置参数如下表所示。

    图-2 新建IP-MAC绑定

    表-3 新建IP-MAC绑定参数表

    参数

    说明

    IPv6地址

    IP-MAC绑定表项的IPv6地址

    MAC地址

    IP-MAC绑定表项的MAC地址

    VRF

    IP-MAC绑定表项所属的VRF

    VLAN

    IP-MAC绑定表项所在的VLAN

    时间段

    IPv6-MAC绑定表项的生效时间段

    状态

    IPv6-MAC绑定表项的状态

    • 生效

    • 不生效

      • 时间段不生效

      • VPN不生效

      • VPN与时间段均不生效

  4. 在“新建IP-MAC绑定”页面,单击<确定>按钮,新建IP-MAC绑定表项成功会在“IP-MAC绑定列表”中显示。

    图-3 IP-MAC绑定列表

配置ND表项

邻居表项保存的是设备在链路范围内的邻居信息,设备邻居表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,也可以通过手工配置来静态创建。

目前,静态邻居表项有两种配置方式:

对于VLAN接口,可以采用上述两种方式来配置静态邻居表项:

ND表项的具体配置步骤如下:

  1. 选择“网络 > ND”,进入ND页面。

  2. 在ND页面的“ND列表”下,单击<新建>按钮,手工配置静态邻居表项,具体的配置参数如下表所示。

    图-4 新建邻居表项

    表-4 新建邻居表项参数表

    参数

    说明

    VRF

    邻居表项所属的VRF

    IPv6地址

    邻居表项的IPv6地址

    MAC地址

    邻居表项的MAC地址

    接口

    报文转发的接口

  3. 在“新建邻居表项”页面,单击<确定>按钮,新建邻居表项会在ND列表显示。

  4. 在“ND列表”中,勾选邻居表项前的复选框,单击<IP-MAC绑定>按钮,ND表项生成对应的IP-MAC绑定表项,会在“IP-MAC绑定列表”中显示。

    图-5 ND列表