Cisco Cisco SF302-08PP 8-port 10 100 PoE+ Managed Switch Guía Del Usuario
Sicherheit: IPv6-Sicherheit des ersten Hops
Integrität der Nachbarbindung
443
Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)
20
Der Switch für die IPv6-Sicherheit des ersten Hops baut Bindungen nur auf
perimetrischen Schnittstellen auf (siehe
perimetrischen Schnittstellen auf (siehe
Die Bindungsinformationen werden in der Tabelle „Nachbarbindung“ gespeichert.
NBI-NDP-Methode
Die verwendete NBI-NDP-Methode basiert auf der unter RFC6620 angegebenen
FCFS-SAVI-Methode, jedoch mit den folgenden Abweichungen:
FCFS-SAVI-Methode, jedoch mit den folgenden Abweichungen:
•
Im Gegensatz zu FCFS-SAVI, das ausschließlich Bindungen für lokale IPv6-
Adressen bietet, unterstützt NBI-NDP darüber hinaus Bindungen von
globalen IPv6-Adressen.
Adressen bietet, unterstützt NBI-NDP darüber hinaus Bindungen von
globalen IPv6-Adressen.
•
NBI-NDP unterstützt IPv6-Adressbindungen nur bei IPv6-Adressen, die aus
NDP-Nachrichten erlernt wurden. Die Quelladressvalidierung für
Datennachrichten wird über den IPv6-Quelladress-Guard bereitgestellt.
NDP-Nachrichten erlernt wurden. Die Quelladressvalidierung für
Datennachrichten wird über den IPv6-Quelladress-Guard bereitgestellt.
•
Bei NBI-NDP basiert der Nachweis des Adressbesitzes auf dem Prinzip der
Reihenfolge des Eingangs der Anforderung (First-Come, First-Served). Der
erste Host, der eine vorhandene Quelladresse beansprucht, ist bis auf
Weiteres der Besitzer dieser Adresse. Da Änderungen an Hosts nicht
akzeptabel sind, muss ein Weg gefunden werden, um den Adressbesitz zu
bestätigen, ohne dass ein neues Protokoll benötigt wird. Aus diesem Grund
bindet der Switch, wenn eine IPv6-Adresse erstmals von der NDP-
Nachricht erlernt wird, die Adresse an die Schnittstelle. Nachfolgende NDP-
Nachrichten, die diese IPV6-Adresse enthalten, können gegen den gleichen
Bindungsanker geprüft werden, um zu bestätigen, dass der Ersteller der
Eigentümer der Quell-IP-Adresse ist.
Reihenfolge des Eingangs der Anforderung (First-Come, First-Served). Der
erste Host, der eine vorhandene Quelladresse beansprucht, ist bis auf
Weiteres der Besitzer dieser Adresse. Da Änderungen an Hosts nicht
akzeptabel sind, muss ein Weg gefunden werden, um den Adressbesitz zu
bestätigen, ohne dass ein neues Protokoll benötigt wird. Aus diesem Grund
bindet der Switch, wenn eine IPv6-Adresse erstmals von der NDP-
Nachricht erlernt wird, die Adresse an die Schnittstelle. Nachfolgende NDP-
Nachrichten, die diese IPV6-Adresse enthalten, können gegen den gleichen
Bindungsanker geprüft werden, um zu bestätigen, dass der Ersteller der
Eigentümer der Quell-IP-Adresse ist.
Es gibt eine Ausnahme von dieser Regel, wenn ein IPv6-Host in der Schicht-
2-Domäne verwendet werden kann oder wenn dieser seine MAC-Adresse
ändert. In diesem Fall ist der Host weiterhin der Besitzer der IP-Adresse, der
zugewiesene Bindungsanker ist jedoch möglicherweise nicht mehr der
ursprüngliche. Um ein solches Szenario aufzufangen, impliziert das
definierte NBI-NDP-Verhalten die Prüfung, ob der Host weiterhin erreichbar
ist. Dazu werden DAD-NS-Nachrichten an die vorherige
Bindungsschnittstelle gesendet. Wenn der Host am zuvor erfassten
Bindungsanker nicht mehr erreichbar ist, geht NBI-NDP davon aus, dass der
neue Anker gültig ist und passt den Bindungsanker entsprechend an. Sollte
der Host nach wie vor über den zuvor erfassten Bindungsanker erreichbar
sein, wird die Bindungsschnittstelle nicht geändert.
2-Domäne verwendet werden kann oder wenn dieser seine MAC-Adresse
ändert. In diesem Fall ist der Host weiterhin der Besitzer der IP-Adresse, der
zugewiesene Bindungsanker ist jedoch möglicherweise nicht mehr der
ursprüngliche. Um ein solches Szenario aufzufangen, impliziert das
definierte NBI-NDP-Verhalten die Prüfung, ob der Host weiterhin erreichbar
ist. Dazu werden DAD-NS-Nachrichten an die vorherige
Bindungsschnittstelle gesendet. Wenn der Host am zuvor erfassten
Bindungsanker nicht mehr erreichbar ist, geht NBI-NDP davon aus, dass der
neue Anker gültig ist und passt den Bindungsanker entsprechend an. Sollte
der Host nach wie vor über den zuvor erfassten Bindungsanker erreichbar
sein, wird die Bindungsschnittstelle nicht geändert.