Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Snooping de configuração automática de endereço sem estado (SLAAC) IPv6

Entendendo o SLAAC Snooping

A atribuição dinâmica de endereços é um recurso importante do IPv6 devido ao grande aumento no espaço de endereços no IPv4. Além do endereçamento estático, o IPv6 oferece duas opções para que os clientes obtenham endereços dinamicamente: DHCPv6 (stateful) e configuração automática de endereço stateless (SLAAC).

O SLAAC simplifica o gerenciamento de endereços IPv6, oferecendo conectividade IP plug-and-play sem configuração manual de hosts. O SLAAC permite que um cliente IPv6 gere seus próprios endereços usando uma combinação de informações e informações disponíveis localmente anunciadas pelos roteadores através do Neighbor Discovery Protocol (NDP).

As mensagens NDP não são seguras, o que torna o SLAAC suscetível a ataques que envolvem a spoofing (ou forjação) de endereços da camada de link. Você deve configurar a espionagem SLAAC para validar clientes IPv6 usando SLAAC antes de permitir que eles acessem a rede.

Processo SLAAC

O cliente começa a configuração automática gerando um endereço local de link para a interface habilitada para IPv6. Isso é feito combinando o prefixo local de link anunciado (primeiro 64 bits) com o identificador de interface (últimos 64 bits). O endereço é gerado de acordo com o seguinte formato: [fe80 (10 bits) + 0 (54 bits)] + interface ID (64 bits).

Antes de atribuir o endereço local do link à sua interface, o cliente verifica o endereço executando a Detecção de endereços duplicados (DAD). PAPAI envia uma mensagem de solicitação ao vizinho destinada ao novo endereço. Se houver uma resposta, o endereço será duplicado e o processo será interrompido. Se o endereço for exclusivo, ele é atribuído à interface.

Para gerar um endereço global, o cliente envia uma mensagem solicitação de roteador para solicitar a todos os roteadores no link para enviar mensagens de anúncio de roteador (RA). Os roteadores habilitados para oferecer suporte ao SLAAC enviam uma RA que contém um prefixo de sub-rede para uso por hosts vizinhos. O cliente coloca o identificador de interface no prefixo de sub-rede para formar um endereço global, e novamente executa o DAD para confirmar sua exclusividade.

SLAAC Snooping

O SLAAC está sujeito às mesmas vulnerabilidades de segurança encontradas no NDP. Você pode configurar a espionagem SLAAC para proteger o tráfego de clientes IPv6 usando SLAAC para atribuição dinâmica de endereços. Para obter mais informações sobre o NDP, consulte IPv6 Neighbor Discovery Inspection.

A espionagem SLAAC é semelhante à espionagem DHCP, na medida em que bisbilhota pacotes para construir uma tabela de vinculações de endereços IP-MAC. SLAAC snooping extrai informações de endereço de pacotes DAD trocados durante o processo SLAAC para construir a mesa de espionagem SLAAC. As vinculações de endereços nesta tabela são usadas para inspecionar e validar pacotes NDP/IP enviados por clientes IPv6 usando SLAAC.

Configuração do SLAAC Snooping

A espionagem SLAAC é habilitada por VLAN. Por padrão, a espionagem SLAAC é desativada para todas as VLANs.

Para habilitar o SLAAC, use os seguintes comandos:

  • Para habilitar o SLAAC em uma VLAN específica:
  • Para habilitar o SLAAC em todas as VLANs:

Configurando o Auto-DAD

Se o PAI for desativado do lado cliente, ou os pacotes DAD forem descartados devido ao congestionamento de tráfego, a espionagem SLAAC executará auto-DAD em nome do cliente. O endereço gerado pelo cliente está em estado provisório até que o processo dad seja concluído.

O Auto-DAD envia uma mensagem de solicitação ao vizinho com o endereço gerado pelo cliente como um alvo, e aguarda um anúncio do vizinho em resposta. Se houver uma resposta, o endereço será duplicado e não poderá ser atribuído ao cliente. Se não houver resposta, o endereço será confirmado.

O tempo que o auto-DAD espera por uma resposta é de 1 segundo por padrão, sem retries. Você pode configurar o número de retries e o comprimento do intervalo entre as transmissões.

Nota:

Durante um movimento MAC, o primeiro pacote de solicitação de vizinhos resultará em uma descarga de entrada SLAAC da porta antiga e o segundo resultará na criação de uma entrada SLAAC para a nova porta.

Para configurar o número de retries para parâmetros auto-DAD, use os seguintes comandos:

  • Para uma interface específica:
  • Para todas as interfaces:

Para configurar o intervalo entre transmissões auto-DAD, use os seguintes comandos:

  • Para uma interface específica:

  • Para todas as interfaces:

Configuração do término do endereço local do link

O endereço local do link aprendido pelo SLAAC tem um período de expiração padrão de 1 dia. Quando o leasing para o endereço expira, o dispositivo de espionagem envia uma mensagem DAD com o endereço do cliente como alvo. Se o cliente ainda estiver acessível, o contrato de locação será renovado.

Para configurar a duração do período de expiração, use o seguinte comando:

Configuração das disputas de DAD permitidas

Você pode configurar o número máximo de mensagens de solicitação de vizinhos ou anúncios de vizinhos para uma interface. Se o número máximo de disputas for excedido durante o intervalo de tempo permitido, a interface é considerada inválida e a tabela de espionagem SLAAC não é atualizada com nenhuma vinculação para esse cliente.

Nota:

As disputas máximas permitidas são configuradas por interface para permitir interfaces que pertencem a mais de uma VLAN.

Para configurar o número máximo de disputas de DAD e o intervalo de tempo permitido, use o seguinte comando:

Configurando uma interface como confiável para o SLAAC Snooping

Quando você configura uma interface como confiável, a entrada vinculativa para a interface é adicionada à tabela de espionagem SLAAC usando o mesmo processo que para interfaces não confiáveis.

Quando uma solicitação dad é recebida em uma porta confiável com uma entrada IP/MAC que já existe em uma porta não confiável, a espionagem SLAAC envia um PAI unicast em direção à porta não confiável para ver se o host está ao vivo.

  • Se o host responder com uma mensagem de NA na porta não confiável, o tempo de locação será renovado para a entrada vinculante existente.

  • Se não houver resposta (NA) na porta não confiável, a entrada vinculante correspondente será excluída.

Se a entrada da porta não confiável for excluída, a vinculação para a porta confiável não será criada imediatamente. Quando a porta confiável começar a enviar tráfego de dados, ela enviará uma mensagem de NS. Na época, a espionagem do SLAAC adiciona a nova ligação à porta confiável.

Os pacotes de anúncio de roteador recebidos em uma porta confiável são inundados para todas as portas naquela VLAN, independentemente da entrada SLAAC para a porta receptora.

Nota:

O número máximo de disputas de DAD não é aplicável a interfaces confiáveis.

Para configurar uma interface como confiável para espionagem SLAAC, use o seguinte comando:

Configuração de ligações persistentes de espionagem SLAAC

As ligações IP-MAC no arquivo de banco de dados de espionagem DHCP não são persistentes. Se o switch for reiniciado, as ligações serão perdidas. Você pode configurar ligações persistentes especificando um nome de caminho local ou uma URL remota para a localização de armazenamento do arquivo de banco de dados de espionagem SLAAC.

Para configurar ligações persistentes para espionagem SLAAC, use o seguinte comando: