Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fisgoneo de la configuración automática de direcciones sin estado (SLAAC) IPv6

Descripción de LAAC Snooping

La asignación dinámica de direcciones es una característica importante de IPv6 debido al gran aumento del espacio de direcciones a través de IPv4. Además de la direccionamiento estático, IPv6 ofrece dos opciones para que los clientes obtengan direcciones dinámicamente: DHCPv6 (con estado) y configuración automática de direcciones sin estado (SLAAC).

SLAAC simplifica la administración de direcciones IPv6 al proporcionar conectividad IP plug-and-play sin configuración manual de hosts. El SLAAC permite a un cliente IPv6 generar sus propias direcciones mediante una combinación de información y información disponibles localmente anunciada por los enrutadores mediante el Protocolo de descubrimiento de vecino (NDP).

Los mensajes NDP no son seguro, lo que hace que SLAAC sea susceptible a ataques que implican la suplantación (o falsificación) de direcciones de capa de vínculo. Debe configurar el espionaje SLAAC para validar los clientes IPv6 mediante SLAAC antes de permitirles acceder a la red.

Proceso de SLAAC

El cliente comienza la configuración automática generando una dirección local de vínculo para la interfaz habilitada para IPv6. Esto se hace combinando el prefijo local de vínculo anunciado (primeros 64 bits) con el identificador de interfaz (últimos 64 bits). La dirección se genera según el siguiente formato: [fe80 (10 bits) + 0 (54 bits)] + interface ID (64 bits).

Antes de asignar la dirección local del vínculo a su interfaz, el cliente verifica la dirección ejecutando la detección de direcciones duplicadas (DAD). El DAD envía un mensaje de solicitud de vecino destinado a la nueva dirección. Si hay una respuesta, la dirección es duplicada y el proceso se detiene. Si la dirección es única, se asigna a la interfaz.

Para generar una dirección global, el cliente envía un mensaje de solicitud de enrutador para solicitar a todos los enrutadores del vínculo que envíen mensajes de anuncio de enrutador (RA). Los enrutadores que están habilitados para admitir SLAAC envían una RA que contiene un prefijo de subred para su uso por hosts vecinos. El cliente anexa el identificador de interfaz al prefijo de subred para formar una dirección global y, de nuevo, ejecuta DAD para confirmar su unicidad.

Espionaje SLAAC

El SLAAC está sujeto a las mismas vulnerabilidades de seguridad que se encuentran en NDP. Puede configurar el espionaje SLAAC para proteger el tráfico de clientes IPv6 mediante SLAAC para la asignación dinámica de direcciones. Para obtener más información sobre NDP, consulte Inspección de descubrimiento de vecino IPv6.

El espionaje SLAAC es similar a la fisgoneo de DHCP, ya que espia paquetes para crear una tabla de enlaces de direcciones IP-MAC. El espionaje SLAAC extrae la información de dirección de los paquetes DAD intercambiados durante el proceso de SLAAC para crear la tabla de espionaje SLAAC. Los enlaces de direcciones de esta tabla se utilizan para inspeccionar y validar paquetes NDP/IP enviados por clientes IPv6 mediante SLAAC.

Configuración de la fisgoneo SLAAC

El espionaje SLAAC está habilitado por VLAN. De forma predeterminada, el espionaje SLAAC está deshabilitado para todas las VLAN.

Para habilitar SLAAC, utilice los siguientes comandos:

  • Para habilitar SLAAC en una VLAN específica:
  • Para habilitar SLAAC en todas las VLAN:

Configuración de auto-DAD

Si el DAD está deshabilitado en el lado del cliente, o los paquetes DAD se caen debido a la congestión del tráfico, el espionaje SLAAC realizará auto-DAD en nombre del cliente. La dirección generada por el cliente se encuentra en un estado tentativo hasta que se complete el proceso DAD.

Auto-DAD envía un mensaje de solicitud de vecino con la dirección generada por el cliente como destino, y espera un anuncio de vecino en respuesta. Si hay una respuesta, la dirección es un duplicado y no se puede asignar al cliente. Si no hay respuesta, se confirmará la dirección.

La cantidad de tiempo que espera el AUTO-DAD para una respuesta es de 1 segundo de forma predeterminada, sin reintentos. Puede configurar el número de reintentos y la longitud del intervalo entre transmisiones.

Nota:

Durante un movimiento MAC, el primer paquete de solicitud de vecino dará como resultado una entrada SLAAC desde el puerto antiguo y el segundo dará como resultado la creación de una entrada SLAAC para el nuevo puerto.

Para configurar el número de reintentos para parámetros de AUTO-DAD, utilice los siguientes comandos:

  • Para una interfaz específica:
  • Para todas las interfaces:

Para configurar el intervalo entre transmisiones auto-DAD, utilice los siguientes comandos:

  • Para una interfaz específica:

  • Para todas las interfaces:

Configuración de la expiración de la dirección local del vínculo

La dirección local de vínculo aprendida por SLAAC tiene un período de vencimiento predeterminado de 1 día. Cuando caduca la concesión de la dirección, el dispositivo de espionaje envía un mensaje DAD con la dirección del cliente como destino. Si el cliente sigue siendo accesible, se renueva la concesión.

Para configurar la longitud del período de vencimiento, utilice el siguiente comando:

Configuración de las contenciones de DAD permitidas

Puede configurar el número máximo de mensajes de contención dad (solicitud de vecino o anuncio de vecino) para una interfaz. Si se supera el número máximo de contenciones durante el intervalo de tiempo permitido, la interfaz se considera no válida y la tabla de espionaje SLAAC no se actualiza con ningún enlace para ese cliente.

Nota:

Las contenciones máximas permitidas se configuran por interfaz para permitir interfaces que pertenecen a más de una VLAN.

Para configurar el número máximo de contenciones dad y el intervalo de tiempo permitido, utilice el siguiente comando:

Configuración de una interfaz como de confianza para la inspección de SLAAC

Cuando configura una interfaz como de confianza, la entrada de enlace para la interfaz se agrega a la tabla de supersición SLAAC mediante el mismo proceso que para interfaces que no son de confianza.

Cuando se recibe una solicitud DAD en un puerto de confianza con una entrada IP/MAC que ya existe en un puerto que no es de confianza, el espionaje SLAAC envía un DAD de unidifusión hacia el puerto que no es de confianza para ver si el host está en vivo.

  • Si el host responde con un mensaje na en el puerto que no es de confianza, el tiempo de concesión se renueva para la entrada de enlace existente.

  • Si no hay respuesta (NA) en el puerto que no es de confianza, se elimina la entrada de enlace correspondiente.

Si se elimina la entrada para el puerto que no es de confianza, el enlace para el puerto de confianza no se crea de inmediato. Cuando el puerto de confianza comience a enviar tráfico de datos, enviará un mensaje NS. En ese momento, el espionaje SLAAC agrega el nuevo enlace en el puerto de confianza.

Los paquetes publicitarios del enrutador recibidos en un puerto de confianza se inundan en todos los puertos de esa VLAN, independientemente de la entrada SLAAC para el puerto de recepción.

Nota:

El número máximo de contenciones DAD no es aplicable a interfaces de confianza.

Para configurar una interfaz como de confianza para la inspección de SLAAC, utilice el siguiente comando:

Configuración de enlaces de snooping SLAAC persistentes

Los enlaces IP-MAC en el archivo de base de datos de snooping DHCP no son persistentes. Si se reinicia el conmutador, se pierden los enlaces. Puede configurar enlaces persistentes especificando un nombre de ruta local o una DIRECCIÓN URL remota para la ubicación de almacenamiento del archivo de base de datos de espionaje SLAAC.

Para configurar enlaces persistentes para la inspección de SLAAC, utilice el siguiente comando: