YD∕T 3996-2021 以太网接入方式下源地址验证技术要求 DHCPv6场景(通信).pdf
《YD∕T 3996-2021 以太网接入方式下源地址验证技术要求 DHCPv6场景(通信).pdf》由会员分享,可在线阅读,更多相关《YD∕T 3996-2021 以太网接入方式下源地址验证技术要求 DHCPv6场景(通信).pdf(45页珍藏版)》请在咨信网上搜索。
1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 以太网接入方式下源地址验证技术要求 DHCPv6 场景 Technical requirements of ethernet source address validation improvement for DHCPv6 (报批稿) -发布 - 中华人民共和国工业和信息化部 发布 YD/T i 目 次 前前 言言 . IV 1 1 范围范围 . 1 2 2 规范性引用文件规范性引用文件 . 1 3 3 术语、定义和缩略语术语、定义和缩略语 . 2 3.1 术语和定义 . 2 3.2 缩略
2、语 . 6 4 4 概述概述 . 7 5 5 部署场景和配置部署场景和配置 . 8 5.1 元素和场景 . 8 5.2 SAVI 绑定类型属性 . 9 5.2.1 信任属性 . 9 5.2.2 DHCP 信任属性 . 10 5.2.3 DHCP-Snooping 属性 . 10 5.2.4 Data-Snooping 属性 . 10 5.2.5 验证属性 . 11 5.2.6 属性互斥情况 . 11 5.3 范围. 12 5.3.1 SAVI-DHCP 范围概述 . 12 5.3.2 SAVI-DHCP 范围配置指南 . 12 5.3.3 关于 DHCP 服务器和中继的位置 . 13 5.3.
3、4 可选部署方案 . 14 5.3.5 关于绑定锚的考虑 . 14 5.4 设备的其他配置 . 15 6 6 绑定状态表(绑定状态表(BSTBST). 15 7 DHCP7 DHCP- -SNOOPINGSNOOPING 过程过程 . 16 7.1 基本原理 . 16 7.2 绑定状态描述 . 17 7.3 事件. 17 7.3.1 计时器超时事件 . 17 7.3.2 DHCP 控制报文到达事件 . 17 7.4 DHCP-SNOOPING 过程的状态机 . 19 YD/T ii 7.4.1 当前状态为:NO_BIND 未绑定 . 19 7.4.2 当前状态为:INIT_BIND 初始绑定
4、. 20 7.4.3 当前状态为:BOUND 已绑定 . 23 7.4.4 状态机表 . 25 8 DATA-SNOOPING 过程过程 . 27 8.1 场景. 27 8.2 基本原理 . 27 8.3 其他的绑定状态描述 . 28 8.5 消息发送者的功能 . 30 8.5.1 重复检测消息发送者 . 30 8.5.2 LeaseQuery 消息发送者 . 30 8.5.3 地址验证消息发送者 . 31 8.6 当前状态为:NO_BIND . 31 8.6.1 事件:EVE_DATA_UNMATCH:收到一个没有匹配绑定表的数据包 . 31 8.6.2 Data-Snooping过程中在N
5、O_BIND状态下未处理的事件 . 32 8.7 当前状态为:DETECTION . 32 8.7.1 事件:EVE_ENTRY_EXPIRE . 32 8.7.2 事件:EVE_DATA_CONFLICT:收到来自非目标系统的ARP Reply/NA消息 . 33 8.7.3 在DETECTION状态下忽略的事件 . 33 8.8 当前状态为:RECOVERY . 33 8.8.1 事件:EVE_DATA_LEASEQUERY,收到成功的 LEASEQUERY-REPLY 消息 . 33 8.8.2 事件:EVE_ENTRY_EXPIRE事件 . 34 8.8.3 在恢复过程中忽略的事件 .
6、 34 8.9 当前状态为:VERIFY . 35 8.9.1 事件:EVE_DATA_LEASEQUERY事件:收到一个有效的DHCPLEASEACTIVE事件或成功的LEASEQUERY-REPLY事件 . 35 8.9.2 事件:EVE_DATA_VERIFY 事件:从绑定锚连接的设备收到一个有效的 ARP 应答或 NA 消息 . 35 8.9.3 事件:EVE_ENTRY_EXPIRE事件 . 35 8.9.4 事件:EVE_DATA_EXPIRE事件 . 35 8.9.5 在验证过程中忽略的事件 . 36 8.10 当前状态为:BOUND. 36 8.11 状态机表 . 36 9 过
7、滤定义过滤定义 . 38 9.1 数据包过滤 . 38 9.2 控制报文过滤 . 38 YD/T iii 10 状态恢复状态恢复 . 39 10.1 属性配置的恢复 . 39 10.2 绑定状态的恢复 . 39 11 常量定义常量定义 . 40 YD/T iv 前 言 本标准是以太网接入方式下源地址验证技术要求系列标准之一,本系列标准的名称和结构预计如下: IP 源地址验证技术要求框架 以太网接入方式下源地址验证技术要求 框架 以太网接入方式下源地址验证技术要求 DHCPv4 场景 以太网接入方式下源地址验证技术要求 DHCPv6 场景 以太网接入方式下源地址验证技术要求 SLAAC 场景 以
8、太网接入方式下源地址验证技术要求 多种地址分配方式共存场景 公众无线局域网接入方式下源地址验证技术要求 以太网接入方式下源地址验证技术要求 管理信息库 本标准按照 GB/T 1.1-2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准参加单位:清华大学、中国互联网络信息中心、华为技术有限公司、新华三技术有限公司、中国电信集团公司。 本标准主要起草人:毕军、吴建平、姚广、胡虹雨、李丹(女)、刘莹、徐明伟、李风华、王旸旸、何林。 YD/T 1 以太网接入方式下源地址验证技术要求以太网接入方式下源地
9、址验证技术要求 DHCPv6DHCPv6 场景场景 1 范围 本标准规定了以太网接入方式下DHCPv6场景的源地址验证技术要求, 主要包括: DHCPv6控制报文监听建立绑定表过程及其状态机、 数据报文触发建立绑定表过程及其状态机、 数据包/控制报文过滤过程、状态恢复过程等。 本标准适用于以太网接入方式下 DHCPv6 场景的源地址验证。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 IETF RFC2131 动态主机配置协议 (Dynamic Host C
10、onfiguration Protocol,DHCP) IETF RFC2827 网络入口过滤协议 (Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing) IETF RFC3315 IPv6动态主机配置协议 (Dynamic Host Configuration Protocol for IPv6 (DHCPv6) ) IETF RFC3736 IPv6 无状态动态主机配置协议 (Stateless Dynamic Host Configur
11、ation Protocol(DHCP) Service for IPv6) IETF RFC4388 DHCP 租期查询协议 ( Dynamic Host Configuration Protocol ( DHCP ) Leasequery) ITTF RFC4861 IPv6 邻居发现协议 (Neighbor Discovery for IP version 6 (IPv6) IETF RFC5007 DHCPv6 租期查询协议 (DHCPv6 Leasequery) IETF RFC6620 本地 IPv6 地址的先到先服务源地址验证改进方法 (FCFS SAVI: First-Come
12、, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses) YD/T 2 IETF RFC7039 源地址验证改进框架 ( Source Address Validation Improvement ( SAVI ) Framework) IETF RFC7341 通 过DHCPv6传 送 DHCPv4 消息 (DHCPv4-over-DHCPv6 (DHCP 4o6) Transport) 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1
13、 源地址验证 source address validation 在IP报文路由寻址过程中,对其携带的源地址的有效性进行验证。 3.1.2 接入网源地址验证/源地址验证增强 source address validation improvement 在主机所在接入网执行的源地址验证技术, 将不允许主机假冒任意非合法分配或配置的地址。 是源地址验证的第一步关卡,因此谓之源地址验证增强。 3.1.3 绑定表 bindings 监听地址分配过程,形成的合法IP地址与对应绑定锚的组合信息。 3.1.4 绑定锚 binding anchor 定义为所连设备的物理层或链路层属性,如RFC7039。该文件第
14、 3.2 节中给出了绑定锚的示例列表。绑定锚应尽可能地将 IP 地址与标识某一单客户端系统或其某一接口的、无法被假冒的属性关联起来。详见第 5.3.5 节。 3.1.5 属性 attribute YD/T 3 每个绑定锚(端口、MAC 地址或其他信息)的可配置属性,该属性表示了对来自相应属性所连网络设备的数据包应执行的操作。 3.1.6 DHCP地址 DHCP address 通过 DHCP 协议分配的地址。 3.1.7 SAVI设备 SAVI device 具有并开启了SAVI-DHCP功能的网络设备。 3.1.8 非SAVI设备 non-SAVI device 不具备SAVI-DHCP功能
15、的网络设备。 3.1.9 DHCP 客户端-服务器消息 DHCP client-to-server message 从DHCP客户端到DHCP服务器的消息。并是以下类型之一: DHCPv6 Request:REQUEST RFC3315。 DHCPv6 Solicit:SOLICIT RFC3315。 DHCPv6 Confirm:CONFIRM RFC3315。 DHCPv6 Decline:DECLINE RFC3315。 DHCPv6 Release:RELEASE RFC3315。 DHCPv6 Rebind:REBIND RFC3315。 DHCPv6 Renew:RENEW RFC
16、3315。 DHCPv6 Information-Request:INFORMATION-REQUEST RFC3315。 DHCPv6 LEASEQUERY:用于查询一 IPv6 地址的可能存在的租期的消息RFC5007。 3.1.10 YD/T 4 DHCP服务器-客户端消息 DHCP Server-to-Client message 从DHCP服务器到DHCP客户端的消息。并是以下类型之一: DHCPv6 Reply:REPLY RFC3315。 DHCPv6 Advertise:ADVERTISE RFC3315。 DHCPv6 Reconfigure:RECONFIGURE RFC3
17、315。 DHCPv6 LEASEQUERY-REPLY:对 LEASEQUERY 消息的响应RFC5007。 3.1.11 租期时间 lease time IPv4地址的租期时间或IPv6地址的有效生存时间。 3.1.12 绑定表项 binding entry 关联IP地址和绑定锚的一个规则。 3.1.13 绑定状态表 binding state table 包含绑定表项的表。 3.1.14 绑定表项限制 binding entry limit 一个绑定锚所能关联的最多的绑定表项的数目。 3.1.15 直接相连 direct attachment SAVI设备是主机直接相连的接入设备。该种情
18、况,主机直接接入SAVI设备上。 3.1.16 间接相连 Indirect attachment YD/T 5 SAVI设备可能是其他接入设备连接的汇聚设备, 主机最终与其相连。 该种情况, 主机间接接入SAVI设备上。 3.1.17 非保护链路 unprotected link 连接了这样的主机或网络主机的链路,这些主机通过其他路径接收DHCP流量,因此这些主机及链路在SAVI的保护范围之外。 3.1.18 非保护设备 unprotected device 连接了非保护链路的设备。例如,一个网络的网关路由器。 3.1.19 受保护链路 protected link 如果接入设备总是通过一条给
19、定链路接收DHCP消息,则该链路被SAVI设备认为是“受保护的”,因此该链路也就在SAVI的保护范围之内。 3.1.20 受保护设备 protected device 连接了受保护链路的设备。例如,网络中的一台桌式交换机或主机。 3.1.21 割点 cut vertex 图(网络)中的这样一个顶点,删除它将增加图(网络)中的联通块的数量。这是图论中的概念。该术语在第7.1节中用于描述当仅运行DHCP Snooping时SAVI设备部署位置的要求。 3.1.22 标识集合 identity association 分配给某客户端的地址集RFC3315。 3.1.23 YD/T 6 探测消息 de
20、tection message 邻居请求(Neighbor Solicitation)消息或ARP消息,由Data Snooping过程发出以检测是否存在重复地址。 3.1.24 DHCP缺省租期 DHCP_default_lease DHCPv6地址的缺省生命周期, 当绑定表项由DHCPv6确认消息触发, 但DHCPv6租期查询交换消息无法由SAVI设备执行并获得租期信息时,设定该缺省租期时间。 3.2 缩略语 下列缩略语适用于本标准。 ARP 地址解析协议 Address Resolution Protocol BST 绑定状态表 Binding State Table DHCP 动态主机
21、配置协议Dynamic Host Configuration Protocol FCFS SAVI 先到先服务的源地址验证增强方法First-Come First-Served Source Address Validation Improvement IA 标识集合 Identity Association LQR EVE_DHCP_LEASEQUERY事件 EVE_DHCP_LEASEQUERY Event MAC 媒体访问控制地址 Media Access Control NA 邻居通告消息 Neighbor Advertisement NDP 邻居发现协议 Neighbor Disco
22、very Protocol RC EVE_DHCP_SOLICIT_RC事件 EVE_DHCP_SOLICIT_RC Event RLS EVE_DHCP_RELEASE事件 EVE_DHCP_RELEASE Event RPL EVE_DHCP_REPLY事件 EVE_DHCP_REPLY Event YD/T 7 RQ EVE_DHCP_REQUEST事件 EVE_DHCP_REQUEST Event SAVI 源地址验证增强 Source Address Validation Improvement SLAAC 无状态地址自动分配 Stateless Address Autoconfig
23、uration TID 事务ID Transaction ID 4 概述 本标准定义了IPv6数据包的细粒度源地址验证机制SAVI-DHCP。该机制创建了由DHCP协议分配给网络接口的IP地址和特定绑定锚(第5.3.5节)之间的绑定表。如第3章和RFC7039中所讨论的,“绑定锚”是一个不可变或难以更改的属性,可以用来识别IP地址所分配并绑定的系统;常见的例子包括以太网交换机端口的MAC地址或WIFI安全关联所使用的MAC地址。 绑定表用于识别并过滤这些端口使用伪造源IP地址所生成的数据包。 通过这种方式, 该机制可以防止主机使用分配给其他接入点的IP地址或其他网络的IP地址。这种行为被称为“
24、欺骗”,是进行网络攻击的关键,在这种情况下,系统1向系统2发送消息, 而声称这些报文来自系统3, 并将应答报文发送到原本不期望接受它们的系统。 虽然BCP 38RFC2827通过提供IP前缀粒度的IP源地址验证, 来保护一个网络免于邻居网络发来的伪造报文的攻击; 而本标准所提机制则通过提供IP地址粒度的IP源地址验证, 来保护本地局域网免于自身内部发起的伪造报文的攻击,该局域网使用DHCPv6协议用于分配IPv6地址。两者都提供了一定程度的可追溯性,在所丢弃的报文中显示存在一个正在用假冒IP源地址生成数据包的系统。 SAVI-DHCP监听了DHCP地址分配过程,以在DHCP分配的IP地址和对应
25、的绑定锚之间建立绑定表项。它包括DHCPv6协议报文的监听过程(第7章)和数据报文的监听过程 (第8章) ,以及其他一些技术细节。数据报文监听过程是一种数据报文触发的过程, 它监听数据报文的IP报头以建立绑定。 其目的是当DHCP协议报文监听没能够建立所有有效的绑定时,避免发生对合法地址的永久阻塞。 本标准机制是为有状态DHCP场景RFC2131RFC3315设计的。无状态DHCPRFC3736场景不在本标准范围,因为它与IP地址分配无关。在那些场景下,将使用其他的SAVI方法。对于使用无状态地址自动配置协议 (SLAAC) 来分配地址的主机, 可以启用 “FCFS SAVI (First-C
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YDT 3996-2021 以太网接入方式下源地址验证技术要求 DHCPv6场景通信 YD 3996 2021 以太网 接入 方式 源地 验证 技术 要求 DHCPv6 场景 通信
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。