YD∕T 3995-2021 以太网接入方式下源地址验证技术要求 DHCPv4场景(通信).pdf

资源描述

1、 ICS 33.040.40 M32 中华人民共和国通信行业标准 YD YD/T 以太网接入方式下源地址验证技术要求 DHCPv4 场景 Technical requirements of ethernet source address validation improvement for DHCPv4 （报批稿） -发布 - 中华人民共和国工业和信息化部发布 YD/T i 目次前前言言 . IV 1 范围范围 . 1 2 规范性引用文件规范性引用文件 . 1 3 术语、定义和缩略语术语、定义和缩略语 . 2 3.1 术语和定义 . 2 3.2 缩略语. 6 4

2、概述概述 . 7 5 部署场景和配置部署场景和配置 . 8 5.1 元素和场景 . 8 5.2 SAVI 绑定类型属性 . 10 5.2.1 信任属性 . 10 5.2.2 DHCP 信任属性 . 10 5.2.3 DHCP-Snooping 属性 . 10 5.2.4 Data-Snooping 属性 . 11 5.2.5 验证属性 . 11 5.2.6 属性互斥情况 . 12 5.3 范围. 12 5.3.1 SAVI-DHCP 范围概述 . 12 5.3.2 SAVI-DHCP 范围配置指南 . 13 5.3.3 关于 DHCP 服务器和中继的位置 . 13 5.3.4 可选部署方案

3、. 14 5.3.5 关于绑定锚的考虑 . 15 5.4 设备的其他配置 . 15 6 绑定状态表（绑定状态表（BST） . 15 7 DHCP-SNOOPING 过程过程 . 16 7.1 基本原理 . 16 7.2 绑定状态描述 . 17 7.3 事件. 17 7.3.1 计时器超时事件 . 17 7.3.2 DHCP控制报文到达事件 . 17 7.4 DHCP-SNOOPING 过程的状态机 . 19 YD/T ii 7.4.1 当前状态为：NO_BIND未绑定 . 19 7.4.2 当前状态为：INIT_BIND初始绑定 . 20 7.4.3 当前状态为：BOUND已绑定 . 21 7

4、.4.4 状态机表 . 23 8 DATA-SNOOPING 过程过程 . 24 8.1 场景. 24 8.2 基本原理 . 25 8.3 其他的绑定状态描述 . 26 8.4 事件. 26 8.5 发送消息的功能 . 27 8.5.1 发送重复检测消息 . 27 8.5.2 发送LeaseQuery消息 . 28 8.5.3 发送地址验证消息 . 28 8.6 当前状态为：NO_BIND . 28 8.6.1 事件：EVE_DATA_UNMATCH：收到一个没有匹配绑定表的数据包 . 29 8.6.2 Data-Snooping过程中在NO_BIND状态下未处理的事件 . 29 8.7 当前

5、状态为：DETECTION . 30 8.7.1 事件：EVE_ENTRY_EXPIRE . 30 8.7.2 事件：EVE_DATA_CONFLICT：收到来自非目标系统的ARP Reply/NA消息 . 31 8.7.3 在DETECTION状态下忽略的事件 . 31 8.8 当前状态为：RECOVERY . 31 8.8.1 事件：EVE_DATA_LEASEQUERY，收到有效的 DHCPLEASEACTIVE 消息 . 31 8.8.2 事件：EVE_ENTRY_EXPIRE事件 . 31 8.8.3 在恢复过程中忽略的事件 . 32 8.9 当前状态为：VERIFY . 32 8.

6、9.1 事件：EVE_DATA_LEASEQUERY事件：收到一个有效的DHCPLEASEACTIVE事件或成功的LEASEQUERY-REPLY事件 . 32 8.9.2 事件：EVE_DATA_VERIFY 事件：从绑定锚连接的设备收到一个有效的 ARP 应答或 NA 消息 . 32 8.9.3 事件：EVE_ENTRY_EXPIRE事件 . 33 8.9.4 事件：EVE_DATA_EXPIRE事件 . 33 8.9.5 在验证过程中忽略的事件 . 33 8.10 当前状态为：BOUND. 34 8.11 状态机表 . 34 9 过滤定义过滤定义 . 35 9.1 数据包过滤 . 35

7、YD/T iii 9.2 控制报文过滤 . 36 10 状态恢复状态恢复 . 37 10.1 属性配置的恢复 . 37 10.2 绑定状态的恢复 . 37 11 常量定义常量定义 . 37 YD/T iv 前言本标准是以太网接入方式下源地址验证技术要求系列标准之一，本系列标准的名称和结构预计如下： -IP 源地址验证技术要求框架 -以太网接入方式下源地址验证技术要求框架 -以太网接入方式下源地址验证技术要求 DHCPv4 场景 -以太网接入方式下源地址验证技术要求 DHCPv6 场景 -以太网接入方式下源地址验证技术要求 SLAAC 场景 -以太网接入方式下源地址验证技术要求多种地址分

8、配方式共存场景 -公众无线局域网接入方式下源地址验证技术要求 -以太网接入方式下源地址验证技术要求管理信息库本标准按照 GB/T 1.1-2009 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准参加单位：清华大学、中国互联网络信息中心、华为技术有限公司、新华三技术有限公司。本标准主要起草人：毕军、吴建平、姚广、胡虹雨、李丹（女）、李星、刘莹、徐恪、徐明伟、崔勇、王旸旸等。 YD/T 1 以太网接入方式下源地址验证技术要求以太网接入方式下源地址验证技术要求 DHCPv4 场景场景 1 范围本

9、标准规定了以太网接入方式下DHCPv4场景的源地址验证技术要求，主要包括： DHCPv4控制报文监听建立绑定表过程及其状态机、数据报文触发建立绑定表过程及其状态机、数据包/控制报文过滤过程、状态恢复过程等。本标准适用于以太网接入方式下 DHCPv4 场景的源地址验证。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 IETF RFC 826 以太网 ARP 协议（Ethernet Address Resolution Protocol：Or Conv

10、erting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware） IETF RFC2131 动态主机配置协议（Dynamic Host Configuration Protocol，DHCP） IETF RFC2827 网络入口过滤协议（Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing） IETF RFC

11、3315 IPv6动态主机配置协议（Dynamic Host Configuration Protocol for IPv6，DHCPv6） IETF RFC3736 IPv6 无状态动态主机配置协议（ Stateless Dynamic Host Configuration Protocol（DHCP） Service for IPv6） IETF RFC4388 DHCP 租期查询协议（Dynamic Host Configuration Protocol （DHCP） Leasequery） ITTF RFC4861 IPv6 邻居发现协议（Neighbor Discovery

12、for IP version 6 （IPv6） YD/T 2 IETF RFC5007 DHCPv6 租期查询协议（DHCPv6 Leasequery） IETF RFC5227 IPv4 地址冲突发现协议（IPv4 Address Conflict Detection） IETF RFC6620 本地 IPv6 地址的先到先服务源地址验证改进方法（FCFS SAVI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses） IETF RFC70

13、39 源地址验证改进框架（Source Address Validation Improvement （SAVI） Framework） IETF RFC7341 通过DHCPv6传送 DHCPv4 消息（DHCPv4-over-DHCPv6 (DHCP 4o6) Transport） 3 术语、定义和缩略语 3.1 术语和定义下列术语和定义适用于本文件。 3.1.1 源地址验证 source address validation 在IP报文路由寻址过程中，对其携带的源地址的有效性进行验证。 3.1.2 接入网源地址验证/源地址验证增强 source address validati

14、on improvement 在主机所在接入网执行的源地址验证技术，将不允许主机假冒任意非合法分配或配置的地址。是源地址验证的第一步关卡，因此谓之源地址验证增强。 3.1.3 绑定表 bindings 监听地址分配过程，形成的合法IP地址与对应绑定锚的组合信息。 3.1.4 绑定锚 binding anchor YD/T 3 所连设备的物理层或链路层属性，如RFC7039。该文件第 3.2 节中给出了绑定锚的示例列表。绑定锚应尽可能地将 IP 地址与标识某一单客户端系统或其某一接口的、无法被假冒的属性关联起来。详见第 5.3.5 节。 3.1.5 属性 attribute 每个绑定锚（端口

15、、MAC 地址或其他信息）的可配置属性，该属性表示了对来自相应属性所连网络设备的数据包应执行的操作。 3.1.6 DHCP地址 DHCP address 通过 DHCP 协议分配的地址。 3.1.7 SAVI设备 SAVI device 具有并开启了SAVI-DHCP功能的网络设备。 3.1.8 非SAVI设备 non-SAVI device 不具备SAVI-DHCP功能的网络设备。 3.1.9 DHCP 客户端-服务器消息 DHCP client-to-server message 从DHCP客户端到DHCP服务器的消息。注：并是以下类型之一： DHCPv4 Discover：DHCPDI

16、SCOVER RFC2131。 DHCPv4 Request：DHCPREQUEST 产生于 SELECTING 状态RFC2131。 DHCPv4 Renew：DHCPREQUEST 产生于 RENEWING 状态RFC2131。 DHCPv4 Rebind：DHCPREQUEST 产生于 REBINDING 状态RFC2131。 YD/T 4 DHCPv4 Reboot：DHCPREQUEST 产生于 INIT-REBOOT 状态RFC2131。（提示：DHCPv4 Request/Renew/Rebind/Reboot 消息在RFC2131表 4 中有列出。） DHCPv4 Decli

17、ne：DHCPDECLINE RFC2131。 DHCPv4 Release：DHCPRELEASE RFC2131。 DHCPv4 Inform：DHCPINFORM RFC2131。 3.1.10 DHCP服务器-客户端消息 DHCP server-to-client message 从DHCP服务器到DHCP客户端的消息。注：并是以下类型之一： DHCPv4 ACK：DHCPACK RFC2131。 DHCPv4 NAK：DHCPNAK RFC2131。 DHCPv4 Offer：DHCPOFFER RFC2131。 DHCPv4 DHCPLEASEACTIVE：对 DHCPLEASE

18、QUERY 消息的响应，要求包含租期信息RFC4388。 DHCPv4 DHCPLEASEUNKNOWN：对 DHCPLEASEQUERY 消息的响应，要求表明服务器不管理该地址RFC4388。 DHCPv4 DHCPLEASEUNASSIGNED：对 DHCPLEASEQUERY 消息的响应，要求表明服务器管理该地址但现在没有租期信息RFC4388。 3.1.11 租期时间 lease time IPv4地址的租期时间或IPv6地址的有效生存时间。 3.1.12 绑定表项 binding entry 关联IP地址和绑定锚的一个规则。 3.1.13 绑定状态表 binding state ta

19、ble YD/T 5 包含绑定表项的表。 3.1.14 绑定表项限制 binding entry limit 绑定锚所能关联的最多的绑定表项的数目。 3.1.15 直接相连 direct attachment SAVI设备是主机直接相连的接入设备。该种情况，主机直接接入SAVI设备上。 3.1.16 间接相连 indirect attachment SAVI设备可能是其他接入设备连接的汇聚设备，主机最终与其相连。该种情况，主机间接接入SAVI设备上。 3.1.17 非保护链路 unprotected link 连接了这样的主机或网络主机的链路，这些主机通过其他路径接收DHCP流量，因此这

20、些主机及链路在SAVI的保护范围之外。 3.1.18 非保护设备 unprotected device 连接了非保护链路的设备。例如，一个网络的网关路由器。 3.1.19 受保护链路 protected link 如果接入设备总是通过一条给定链路接收DHCP消息，则该链路被SAVI设备认为是“受保护的”，因此该链路也就在SAVI的保护范围之内。 3.1.20 受保护设备 protected device YD/T 6 连接了受保护链路的设备。例如，网络中的一台桌式交换机或主机。 3.1.21 割点 cut vertex 割点是图（网络）中的这样一个顶点，删除它将增加图（网络）中的联通块的数量。

21、这是图论中的概念。该术语在第7.1节中用于描述当仅运行DHCP Snooping时SAVI设备部署位置的要求。 3.1.22 标识集合 identity association）分配给某客户端的地址集RFC3315。 3.1.23 探测消息 detection message 邻居请求（Neighbor Solicitation）消息或ARP消息，由Data Snooping过程发出以检测是否存在重复地址。 3.2 缩略语下列缩略语适用于本标准。 ARP 地址解析协议 Address Resolution Protocol BST 绑定状态表 Binding State Table CF

22、EVE_DHCP_CONFIRM事件 EVE_DHCP_CONFIRM Event DCL EVE_DHCP_DECLINE事件 EVE_DHCP_DECLINE Event DHCP 动态主机配置协议 Dynamic Host Configuration Protocol FCFS SAVI 先到先服务的源地址验证增强方法 First-Come First-Served Source Address Validation Improvement IA 标识集合 Identity Association MAC 媒体访问控制地址 Media Access Control YD/T 7 NA 邻

23、居通告消息 Neighbor Advertisement NAK DHCP NAK 消息 Negative Acknowledgment NDP 邻居发现协议 Neighbor Discovery Protocol RE EVE_DHCP_REBOOT事件 EVE_DHCP_REBOOT Event RLS EVE_DHCP_RELEASE事件 EVE_DHCP_RELEASE Event RPL EVE_DHCP_REPLY事件 EVE_DHCP_REPLY Event RQ EVE_DHCP_REQUEST事件 EVE_DHCP_REQUEST Event SAVI 源地址验证增强 Sou

24、rce Address Validation Improvement SLAAC 无状态地址自动分配 Stateless Address Autoconfiguration TID DHCP事务ID Transaction ID 4 概述本标准定义了IPv4数据包的细粒度源地址验证机制SAVI-DHCP。该机制创建了由DHCP协议分配给网络接口的IP地址和特定绑定锚（第5.3.5节）之间的绑定表。如第3章和RFC7039中所讨论的，“绑定锚”是一个不可变或难以更改的属性，可以用来识别IP地址所分配并绑定的系统；常见的例子包括以太网交换机端口的MAC地址或WIFI安全关联所使用的MAC地址。

25、绑定表用于识别并过滤这些端口上使用伪造源IP地址所生成的数据包。通过这种方式，该机制可以防止主机使用分配给其他接入点的IP地址或其他网络的IP地址。这种行为被称为“欺骗”，是进行网络攻击的关键，在这种情况下，系统1向系统2发送消息，而声称这些报文来自系统3，并将应答报文发送到原本不期望接受它们的系统。虽然BCP 38RFC2827通过提供IP前缀粒度的IP源地址验证，来保护一个网络免于邻居网络发来的伪造报文的攻击；而本标准所提机制则通过提供IP地址粒度的IP源地址验证，来保护本地局域网免于自身内部发起的伪造报文的攻击，该局域网使用DHCPv4协议用于分配IPv4地址。两者都提供了一定程

26、度的可追溯性，在所丢弃的报文中显示存在一个正在用假冒IP源地址生成数据包的系统。 YD/T 8 SAVI-DHCP监听了DHCP地址分配过程，以在DHCP分配的IP地址和对应的绑定锚之间建立绑定表项。它包括DHCPv4协议报文的监听过程（第7章）和数据报文的监听过程（第8章），以及其他一些技术细节。数据报文监听过程是一种数据报文触发的过程，它监听数据报文的IP报头以建立绑定。其目的是当DHCP协议报文监听没能够建立所有有效的绑定时，避免发生对合法地址的永久阻塞。本标准机制是为有状态DHCP场景RFC2131RFC3315设计的。无状态DHCPRFC3736场景不在本标准范围，因为它与

27、IP地址分配无关。在那些场景下，将使用其他的SAVI方法。对于使用无状态地址自动配置协议（SLAAC）来分配地址的主机，可以启用 “FCFS SAVI （First-Come， First-Served Source Address Validation Improvement，先到先服务的源地址验证增强方法）”方法RFC6620。SAVI-DHCP方法主要用于纯DHCP场景，其中只有通过DHCP协议分配的IP地址才被允许。然而，SAVI-DHCP并不能阻止link-local地址，因为它们不是使用DHCP来分配的。建议管理员部署一个用于link-local地址的SAVI解决方案，例如F

28、CFS SAVIRFC6620。本标准机制适用于只使用了DHCPv4，或同时使用了DHCPv4和DHCPv6的网络。而IPv4/IPv6过渡场景中的DHCP地址分配机制，例如RFC7341，不在本标准范围之内。 5 部署场景和配置 5.1 元素和场景在一个 SAVI-DHCP 部署场景中，如图 1 所示，最基本的元素至少包括一台 DHCP 服务器（它可能通过 DHCP 分配地址也可能不通过 DHCP 分配地址，因此可能受到保护也可能不受保护）、零个或多个受保护的 DHCP 客户端，以及一个或多个 SAVI 设备。当 DHCP 服务器与客户端不位于同一网络时，部署场景还可能包括 DHCP

29、relay，以及零个或多个受保护的非 SAVI 设备。在此范围外，通过不受保护的链路，可能会连接有许多不受保护的设备。 YD/T 9 图 1 SAVI-DHCP 场景图 1 显示了包含这些元素的部署场景。提示：一台物理设备可以包含多个元素的实例，例如，一台交换机可能既是 SAVI 设备又是 DHCP 中继，或者在云计算环境中，一台物理主机可能包含一台虚拟交换机和一些虚拟主机。在这种情况下，链路是逻辑链路，而不是物理链路。网络通常不是孤立的。因此，来自其他网络的流量，包括在RFC6620中定义的传输流量（例如，来自另一个 SAVI 交换机或路由器的流量）可以通过非保护链接进入一个 SAV

30、I-DHCP 网络。由于 SAVI解决方案仅限于验证从本地链路生成的流量，所以 SAVI-DHCP 并没有为其他网络分配的地址设置绑定表，也不能对它们进行验证。非保护链路的流量应该由非保护设备或机制来检查RFC2827。这些机制的生成和部署超出了本标准的范围。然而，来自保护链路的流量是本地生成的，应尽可能的由 SAVI-DHCP 验证其源地址。但是，如果在主机和 SAVI 设备之间有一个介入的受保护非 SAVI 设备，那么仅使用物理接入点作为绑定锚点是不够安全的，因为端口上的多个设备或连接的其他点可以互相假冒地址。因此，应该增加使用诸如 MAC 地址之YD/T 10 类的其他信息来消除歧义

31、。 5.2 SAVI 绑定类型属性如图 1 所示，连接到 SAVI 设备的系统可以是 DHCP 客户端、 DHCP 中继/服务器、 SAVI 设备或非 SAVI设备。不同的元素对报文执行不同的动作。为了区分它们的需求，给 SAVI 设备的接入点关联一些属性。当绑定关联未实例化时，例如，当没有主机使用给定端口或其他绑定锚连接到 SAVI 设备时，绑定端口属性将使用缺省值，除非通过配置进行修改。缺省情况下，SAVI 交换机不过滤 DHCP 消息，也不尝试验证源地址，就是说绑定属性是被忽略的，直到 SAVI-DHCP 被启用。这是因为，一个依赖于 DHCP 的SAVI 交换机不知道哪个端口连接

32、了有效的 DHCP 服务器，或者哪些路由器或其他设备可以使用任意一组源地址。当 SAVI 被启用时，绑定属性才生效。下列术语和定义适用于本标准。 5.2.1 信任属性 “信任属性”是一个布尔值。如果为“真” ，则表示来自对应接入设备的数据包不需要进行源地址验证。可信接入设备的示例是另一个 SAVI 设备或 IP 路由器的端口，如图 1 所示。在这两种情况下，可以看到流量中使用大量的源 IP 地址。缺省情况下，信任属性为“假” ，这表明在该端口上的任何设备都将使用 DHCP 跟踪地址，并只能使用这些地址。 SAVI 设备不会为信任属性为“真”的接入端口建立绑定。连接在具有该属性端口的设备发送

33、的任何数据包，包括 DHCP 消息，将不会进行源地址验证。然而，在信任属性为“真”的接入端口上将监听DHCP 服务器-客户端消息，就同它们设置“DHCP-信任属性”为“真”时一样（见第 5.2.2 节）。 5.2.2 DHCP 信任属性 “DHCP-Trust 属性”也是一个布尔属性。它表示是否允许所连设备启动 DHCP 服务器-客户端的消息。在图 1 中，将会设置 DHCP 服务器和 DHCP 中继的接入端口的这个属性为 TRUE。而“信任属性”为TRUE 的接入端口则被隐式地视为“DHCP 信任属性”为真。如果 DHCP-Trust 属性为真， SAVI 设备将会从带有该属性的接入端口

34、转发 DHCP服务器-客户端消息。如果 DHCP 服务器-客户端消息能够触发状态转换，那么在第 7 章和第 8 章中定义的绑定建立过程将处理这些报文。缺省情况下，DHCP-Trust 属性为假，这表明接入系统不是 DHCP 服务器。 5.2.3 DHCP-SNOOPING属性 YD/T 11 “DHCP-Snooping 属性”也是一个布尔属性。它表示是否将基于 DHCP 监听来设置绑定。如果此属性为真，那么发给带有该属性的接入端口的 DHCP 客户端-服务器消息，将触发基于DHCP-SNOOPING 过程的绑定创建，具体见第 7 章中描述。如果该属性为假，则信任属性必须为真（则绑定就没有

35、必要了），或在该接入端口必须使用其他 SAVI 机制，如 FCFS SAVI。 DHCP-Snooping 属性配置在 DHCP 客户端的接入端口上。此属性也可用于 DHCP 客户端所使用的受保护的非 SAVI 设备的连接上。在图 1 中，从客户端 A 到 SAVI 设备 A 的连接，从客户端 B 到 SAVI 设备 B的连接，以及从非 SAVI 设备 2 到 SAVI 设备 A 的连接可以配置为本属性。 5.2.4 DATA-SNOOPING属性 “Data-Snooping”属性是一个布尔属性。它表示来自该接入端口上的数据报文是否能触发绑定设置过程。带有该属性的链路的节点发出的数据包

36、，能触发绑定的建立。SAVI 设备将基于数据包触发过程在带有该属性的接入端口上建立绑定，具体在第 8 章中描述。如果 DHCP-监听属性在某接入端口上配置，则基于 DHCP 消息监听来建立该链路的相关绑定。然而，在某些情况下，DHCP 客户端不需要其当前链路上执行的 DHCP 地址分配过程，就可以使用 DHCP 地址。对于这些链路连接的设备，Data-Snooping 过程是必要的，在第 8 章中描述。该属性在这些链路上进行配置。第 8 章将进一步讨论该属性的用法。由于一些网络需要 DHCP 部署，而有些网络则不需要，因此 Data-Snooping 属性没有明显的统一缺省值。因此，Dat

37、a-Snooping 属性应该默认为 FALSE，而且应该设计一个机制，方便在信任属性为 FALSE的所有链路节点中，将 Data-Snooping 属性设置为 TRUE。 5.2.5 验证属性 “验证属性”是一个布尔属性。它表示是否基于该链路的绑定条目对来自相应链路上数据包进行IP 源地址验证。如果该属性为真，则将基于该链路的绑定条目对来自相应链路上数据包进行 IP 源地址验证，具体在第 9 章中定义。如果为 FALSE，就不进行验证。由于绑定表通常通过其他 SAVI 算法产生，则“验证属性”仅表示是否进行源地址检查，而不代表是否执行“SAVI-DHCP”绑定。 YD/T 12 该属性与“

38、信任属性”相反，缺省为真，即默认情况下非可信链路上的源地址将被验证。它也可以被管理员设置为否。一种可能的使用情况是用 SAVI 来监控而不是阻止假冒流量。在这种情况下，网络管理员可以设置“DHCP-SNOOPING”和/或“Data-Snooping 属性”为 TRUE，但“验证属性”为 FALSE。 5.2.6 属性互斥情况不同类型的属性可能对于同一数据包存在互斥操作。互斥属性不能在同一链路上设置为真。下表 1 中列出了各种属性的互斥及兼容情况。提示：尽管“信任属性”和“DHCP 信任属性”是兼容的，但不需要在“信任属性”为 TRUE 的链路上将“DHCP-信任属性”配置为 TRUE

39、。表 1 互斥及兼容情况 Trust DHCP-Trust DHCP-Snooping Data-Snooping Validating Trust - 兼容互斥互斥互斥 DHCP-Trust 兼容 - 兼容兼容兼容 DHCP-Snooping 互斥兼容 - 兼容兼容 data-Snooping 互斥兼容兼容 - 兼容 Validating 互斥兼容兼容兼容 - 5.3 范围 5.3.1 SAVI-DHCP 范围概述 SAVI 设备将在网络中形成一个范围，将网络中信任区域和不信任的区域分隔开，FCFS SAVI也有类似的 SAVI 范围（RFC6620的第 2.5 节

40、）。SAVI 范围主要为可扩展性而设计。它有两个含义： a） SAVI 设备只需要为直接连接的客户端建立绑定，或者通过非 SAVI 但受保护的设备间接连接的客户端，而不是网络中的所有客户端。 b）每个 SAVI 设备只需要对连接到它的客户端的流量进行源地址验证，而不需要检查所有经过它YD/T 13 的流量。考虑图 1 中的示例。保护范围由 SAVI 设备 A、B、C 所形成。在这种情况下，SAVI 设备 B 将不会为客户端 A 创建绑定。然而，因为 SAVI 设备 A 过滤从客户端 A 发出的假冒流量，SAVI 设备 B 可以免于收到从客户端 A 发出的假冒流量。 SAVI-DHCP 范围

41、不仅是数据包的范围也是 DHCP 消息的范围。跨边界流入的 DHCP 服务响应消息将会被丢弃（第 9 章）。DHCP 中继和 DHCP 服务器的位置（RFC6620 中没有描述）与 SAVI-DHCP 范围的构造有关。DHCP 中继和 DHCP 服务器的位置和配置的要求，将在 5.3.3 节中讨论。 5.3.2 SAVI-DHCP 范围配置指南区分网络可信和非信任区域的范围，通过如下步骤形成： a）与所有 DHCP 客户端直接相连的链路，配置其“验证属性”和“DHCP-SNOOPING 属性”为真； b）与所有 DHCP 客户端间接相连的链路，配置其“验证属性”和“DHCP-SNOOP

42、ING 属性”为真，例如 DHCP 客户端在受保护的链路上； c）与其他 SAVI 设备相连的链路，配置其“信任属性”为 TRUE； d）如果非 SAVI 设备，或多个互连的非 SAVI 设备，仅与 SAVI 设备相连，则将其链路的“信任属性”设置为 TRUE； e）在直接连接可信 DHCP 中继和 DHCP 服务器的链路上，配置“DHCP-Trust 属性”为真。通过这种方式，SAVI 设备上配置“验证属性”为真的链路端口（通常连接非保护设备），将形成一个隔离 DHCP 客户端和可信设备的范围。数据包检查仅在边界上执行。也限定了 DHCP 消息的范围。只有范围内的链路的“DHCP

43、-Trust 属性”配置为真。只有范围内产生的 DHCP 服务器-客户端的消息是可信的。 5.3.3 关于 DHCP 服务器和中继的位置根据上面配置指南的结果，SAVI 设备只信任范围内产生的 DHCP 服务器-客户端的消息。因此，可信 DHCP relays 和 DHCP 服务器应放置在保护范围内。DHCP 服务器-客户端消息在边界上将被过滤。而服务器-中继消息不会被过滤，因为 DHCP relays 和 DHCP 服务器都在保护范围内。通过这种YD/T 14 方式，通过不可信链路进入的、来自伪 DHCP 服务器的 DHCP 服务器-客户端消息将在边界上被过滤。将保护 SAVI 设备不

44、受伪造 DHCP 消息的影响。从外围到达边界的 DHCP 服务器-客户端消息将是不可信的。不在 SAVI 范围内的、但由合法管理部门拥有和运行的一台 DHCP 服务器与一台伪造的 DHCP 服务器之间看不出什么区别。例如，在图1 中， DHCP 服务器 A 是合法的，但是它连接到了非 SAVI 设备 1，一个伪 DHCP 服务器也连接到非 SAVI设备 1。可以想象这样一个场景，在该场景中，一合法 DHCP 服务器有“静态配置的端口号和 MAC地址” 这样一个绑定，缺省情况下 SAVI-DHCP 无法区分从非 SAVI 设备 1 端口收到的消息是来自 DHCP服务器 A 还是伪 D

45、HCP 服务器。如果将 DHCP 服务器 A 包含在 SAVI 范围内，则非 SAVI 设备 1 也包含在 SAVI 范围内。因此，DHCP 服务器 A 不能包含在 SAVI 范围之内，除非手动配置了绑定锚。关于位置的另一个考虑是：如果 DHCP 服务器/中继不在范围内，SAVI 设备可能无法正确地创建绑定，因为 SAVI 设备可能不在客户端-服务器/中继之间的路径上，或者 DHCP 消息被封装（例如，Relay-reply 和 Relay-forward 消息）了起来。 5.3.4 可选部署方案在通常的实际部署中，来自未受保护的网络的流量被视为值得信任的，也就是说它没有被过

46、滤。在这种情况下，可以在未受保护的链接上设置信任属性为真。如果非 SAVI 设备，或多个互连的非SAVI 设备，仅与 SAVI 设备和无保护设备相连，则它们连接 SAVI 设备的链路“信任属性”设置为真。将会形成一个非闭合的 SAVI 范围，如图 2 所示。 YD/T 15 图 2 可选的 SAVI 范围配置 5.3.5 关于绑定锚的考虑这种基于“绑定”的机制的强度取决于绑定锚的强度。在RFC7039中示例的绑定锚具有将 IP地址与直接物理接口或安全虚拟接口（如交换机端口、用户关联或安全关联）进行关联的属性。此外，在受保护的非 SAVI 设备（如桌面交换机或集线器）位于客户端和 SAVI 设

47、备之间的情况下，绑定锚可能还会扩展到包括 MAC 地址或其他链接层属性。简而言之，绑定锚应将一个 IP 地址与一个不可假冒的事物相关联，该事物可以识别唯一客户端系统或其某一接口。它可能是一个物理的或虚拟的接口，还包括不含歧义的链接层信息。如果绑定锚是可假冒的，例如普通的 MAC 地址、或者非排他性的，例如使用非 SAVI 设备扩展的交换机端口，攻击者可以使用伪造的绑定锚来逃避验证。实际上，使用容易被假冒的绑定锚，与允许假冒 IP 流量通过相比，将会导致更糟糕的结果。因此，SAVI 设备必须使用不可假冒的和排他性的绑定锚。 5.4 设备的其他配置除了第 5.2 节中定义的可能的绑定锚配置

48、之外，还需要实现以下几种配置要求： a）地址配置。对于 DHCPv4：SAVI 设备必须有一个 IPv4 地址； b） DHCP 服务器地址配置：SAVI 设备必须保存在 Leasequery 过程中可以联系的 DHCP 服务器地址列表； c） SAVI 设备可能还需要安全参数，例如为 Leasequery 过程RFC4388RFC5007建立安全连接的预配置密钥。 6 绑定状态表（BST）绑定状态表可以在交换机中集中式实现，也可以在其端口间分布式实现，用于存储绑定表项-即在接入点所获得的 IP 地址与接入点对应绑定锚之间建立的绑定。提示：在本描述中，一个绑定锚可能对应多个 IPv4

49、地址，特别当该端口通过一个受保护的非 SAVI 设备与外部连接时,因此绑定锚关联的每个 IPv4 地址都建立有一个绑定条目。每个绑定表项包含 6 个字段： YD/T 16 a）绑定锚（以下简称为“锚”）：绑定锚，即接入点的一个或多个物理层和/或链路层属性； b） IP 地址（以下简称为“地址”）：由 DHCP 分配给接入点的 IPv4 地址； c）状态：绑定的状态。该字段的可能值，将在第 7.2 和 8.3 小节中列出； d）生命周期：该绑定的剩余时间。当生存周期到期时可以将其设为时间戳值； e）事务 ID（TID）：对应 DHCP 事务的事务 IDRFC2131RFC3315。事务

50、 ID 将 DHCP 服务器-客户端消息与相应的绑定条目关联起来； f）超时：当前状态下的超时次数（仅在 Data-Snooping 过程中使用，具体见第 8 章）； IA（Identity Association，标识集合）没有出现在绑定状态表中, 主要由于以下原因，： g） IA 中的每个地址的租期是独立分配的； h）当绑定基于 Data-Snooping 建立时，不能从 LeaseQuery 消息协议中得到 IA； i） DHCPv4 中没有定义 IA。下表 2 给出了 BST 表的示例。表 2 绑定状态表示例锚锚地址地址状态状态生命周期生命周期 TID 超时超时端口

展开阅读全文