ND Snooping配置.docx

18 ND Snooping配置18.1 理解ND Snooping18.1.1 概述在IPv6网络中，网络节点使用ND（Neighbor Discovery，邻居发现）协议进行路由器发现与自动配置，重复地址探测，链路层地址解析，邻居可达性探测，链路层地址改变通告和路由重定向等操作。由于ND协议缺乏内在的安全性，因此其面临地址解析攻击和路由信息攻击问题，而通过部署外在的加密认证体系来增加安全性又很复杂。IPv6使用ND协议实现的无状态地址自动配置机制在带来更易用的网络的时，使得无法对网络用户进行有效的监管。ND snooping技术的提出就是为了解决上述问题。其通过监听网络中的ND报文，过滤非法的地址解析报文和路由信息报文，监听网络中的IPv6用户，并将监听到的IPv6用户绑定到接口，以防止IP地址盗用。ND snooping技术还利用了IPv6无状态自动地址配置特性，结合802.1X认证技术和端口安全技术，提供一种接入设备IPv6地址认证手段，且与IPv4安全技术平滑透明的兼容。从而打造一个安全可信的IPv6网络。18.1.2 ND防攻击在使用无状态地址自动配置时，IPv6节点使用路由器公告信息配置接口IPv6地址，并获取直连网段前缀，网关IP地址，链路MTU等信息。路由器还可使用ND重定向报文修改主机路由表中相关路由的下一跳信息。因此攻击者可发送非法的RA报文和重定向报文，修改被攻击主机的路由表信息（例如网关IP地址），从而达到拒绝服务攻击、中间人攻击等目的。此类以欺骗主机路由信息为目的的攻击，我们称之为“路由信息攻击”。IPv6节点单播通讯时，首先使用ND协议进行地址解析，以获取邻居节点的链路层地址，然后再用解析到的链路层地址封装帧发送。ND协议中的5类报文都可携带链路层地址信息，且接收节点认为其都是可信的，因此攻击者可发送欺骗性ND报文，修改被攻击节点的邻居表中的IP地址与链路层地址对应关系，从而达到拒绝服务攻击、中间人攻击等目的。此类以欺骗节点IP地址与链路层地址对应关系为目的的攻击，我们称之为“地址解析攻击”。为了解决上述两类攻击问题，ND Snooping特性将网络设备的接口划分为trust接口和untrust接口。trust接口用于接Router或服务器等可信节点，untrust接口用于接用户PC等不可信任节点。对于trust接口接收到的ND报文可任意通过，而对于untrust接口上接收到的重定向报文和RA报文一律丢弃，这样就防止了路由信息攻击。对于untrust接口上接收到的RS/NS/NA报文,则要检查其合法性。对于不合法的RS/NS/NA报文则一律丢弃，这样就防止了地址解析攻击。RS/NS/NA报文合法性通过检查其（源IP地址/Target IP地址，VID，MAC地址，输入接口）四元素的匹配关系判定。主机节点四元素的匹配关系由“IPv6+MAC绑定”，“DHCPv6 Snooping”和下文提到的“无状态配置用户监听”几个特性共同提供。即若要进行防ND地址解析攻击，需开启上述几个特性中至少一个。若从Untrust接口上接收到NA报文中携带路由器才能设置的信息（R位被设置），也认为其是非法的。对所有主机节点的ND报文进行安全性检查自然就防御了网关地址解析攻击，若您只想防网关地址解析攻击，请参见“ND自动防网关攻击”章节。防ND路由信息攻击则与上述几个特性无关。您可以通过命令开关ND防地址解析攻击功能，但ND防路由信息攻击随ND Snooping特性的开启而始终开启。18.1.3 ND自动防网关攻击对网关的地址解析欺骗是最常见的攻击手段，且造成的影响是最大的，因此解决了网关的地址解析欺骗攻击问题，就解决网络中的绝大多数地址解析攻击问题。同时，仅进行防网关攻击，可有效的节省系统资源。为了方便使用，ND Snooping特性除了支持手动配置网关信息，还支持自动获取网关信息。网关是网络中的关键节点之一，ND snooping功能支持“ND仅防关键节点地址解析攻击”特性，即对untrust口上接收到的ND报文，仅检查其是否是假冒关键节点的ND报文，不检查其是否是假冒非关键节点的ND报文，对于假冒报文一律丢弃，从而可以大大减轻网络设备的CPU负载，并减少设备资源消耗和对其它安全特性的依赖性（如“ND防攻击”中所提到的几个特性）。网关信息的获取有自动方式和手动方式，获取的网关信息会自动的成为关键节点信息，从而可实现ND仅防网关地址解析攻击。在使用自动获取网关信息时，ND Snooping特性可通过监听网络中的RA报文，自动学习到得网关信息，若网关发生改变，ND Snooping可自动更新，整个过程对网络管理员透明，不需要特殊配置。若您使用手工配置IPv6网络，则可手工添加网关信息（您还可以手工添加另一种关键节点“服务器”的信息，从而防御对服务器的地址解析攻击，参见后续的配置命令）。18.1.4 无状态配置用户监听采用无状态地址自动配置的用户我们简称为“无状态配置用户”。在使用无状态地址自动配置时，网络管理员无法得知网络中有多少IPv6用户，从而无法部署相关的管理策略。若在网络中出现攻击，网络管理员通过某种手段并获得了攻击者的IP地址。当网络管理员在找攻击源的物理位置的时候，其通过IP地址只能定位到具体网段，而无法定位到具体网络设备端口以及物理终端。为了解决上述问题，您可以监听网络中无状态配置用户以获得相关的用户信息。无状态配置用户监听只在untrust接口上监听用户。 注意1) ND Snooping不支持监听临时地址，在某些操作系统中，默认启用临时地址，需显示的关闭，例如在Windows XP中，需使用命令netsh interface ipv6 set privacy disabled关闭之。2) 为保证网段中地址的唯一性，接入终端应该使用网络接口卡内嵌的MAC地址进行通讯，不应该私改MAC地址。18.1.5 无状态配置用户绑定在使用无状态地址自动配置时，地址分配和使用过程是不可控的，IP地址存在冒用的可能性，因此IP地址和用户终端的没有必然的联系。例如攻击者冒用主机A的IP地址进行各种攻击活动，网络管理员根据攻击流的源IP地址追踪主机A，主机A被误认为是攻击者，而真正的攻击者则溜之大吉了。为了解决无状态地址自动配置情况下的IP地址冒用和DDOS攻击问题，ND Snooping特性支持将监听到的无状态配置用户绑定到硬件接口上，指定的用户只能从指定的接口接入。无状态配置用户“地址绑定模式”分为宽松模式和严格模式，在宽松模式下仅绑定非link-local地址，在严格模式下，主机的link-local地址和非link-local地址都绑定。在只有一个网段的情况下，严格模式耗费的硬件资源是宽松模式的一倍。无状态配置用户“地址绑定信息”支持“仅IPv6地址”模式和“IPv6+MAC”绑定。前者检查报文（VID，源IP地址，端口）的匹配关系，后者检查报文（VID，源MAC地址，源IP地址，端口）的匹配关系。后者比前者提供更高的安全性，但其部署可能会与某些功能互斥。18.1.6 联合安全监管在IPv6无状态地址自动配置时，攻击者可以伪造大量用户进行ND交互，这样网络设备所监听到的IPv6用户大量都是伪造的，使得监控数据不可信，同时攻击者的IP地址也淹没在其中。若设备开启了用户绑定功能，伪造的用户消耗了大量硬件表项资源，使得其他正常IPv6用户无法接入。IPv6的无状态地址自动配置特性使得任意终端可以在任意节点接入网络，网络管理员无法对接入终端进行物理位置绑定或IPv6地址授权。为了解决上述问题，ND snooping提供了联合安全监管功能：您可以结合端口安全和802.1X，对ND报文进行安全性检查，并在IPv6无状态地址自动配置的场景中，也能进行IPv6地址绑定或IPv6地址授权。当接口上启动端口安全时，只有端口安全自动学习到的MAC地址、手工设置的MAC地址、以及手工设置的IPv4+MAC绑定中的MAC地址和接入点才是可信；当接口上启动802.1X时，只有802.1X认证通过用户的MAC地址和接入点才是可信的。只有从可信的接入点接收到的携带可信MAC地址的ND报文，才认为是合法ND报文，网络设备只从合法的ND报文中监听用户并绑定。18.1.7 ND Snooping与CPP网络设备执行ND报文安全检查需要消耗一定的CPU 资源，为了防止攻击者发送大量的ND报文对网络设备进行拒绝服务攻击，设备使用CPP功能对ND报文进行整机限速和优先级控制。ND Snooping特性开启后，CPP对ND报文的控制将自动开启。关于CPP的ND报文限速配置，ND报文与其它报文之间的优先级关系，请参见CPP功能配置章节。18.1.8 ND Snooping与NFPP除了用CPP对ND报文进行整机控制，设备还支持使用NFPP功能以接口为粒度对ND报文进行更精准的限速，NFPP仅对送CPU检查的ND报文有效。该特性由NFPP功能提供，具体配置方法请参考NFPP配置章节。ND报文速率限制同时满足接口和整机限制。18.1.9 ND Snooping与IPv6兼容模式某些IPv4安全策略为对IPv6报文进行控制，提供IPv6兼容模式配置项，ND Snooping特性只能工作在IPv6兼容模式的严格模式下，关于IPv6兼容模式的说明请参见IPv4+MAC绑定章节。18.1.10 协议规范RFC 2464: Transmission of IPv6 Packets over Ethernet NetworksRFC 4861: Neighbor Discovery for IP version 6 (IPv6)RFC 4862: IPv6 Stateless Address Autoconfiguration18.2 缺省配置功能特性缺省值ND Snooping全局使能关闭ND Snooping 基于VLAN使能开启(该值仅在全局使能时有意义，下同)接口信任模式UntrustND防路由信息攻击开启ND防地址解析攻击关闭自动网关信息获取全局使能关闭自动网关信息获取基于VLAN使能关闭手工配置关键节点无无状态配置用户监听关闭联合安全监管关闭IPv6前缀数量限制2/VLAN接入用户数量限制16/接口无状态配置用户移动关闭无状态配置用户绑定关闭无状态配置用户地址绑定模式宽松无状态配置用户地址绑定信息仅IPv6地址18.3 使能ND Snooping18.3.1 全局使能命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# no ipv6 nd snooping全局打开和关闭IPv6 ND Snooping例如：全局开启IPv6 ND snoopingRuijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# ipv6 nd snooping18.3.2 基于VLAN使能默认情况下，所有VLAN都使能ND Snooping特性，您可以使用如下命令关闭VLAN的IPv6 ND Snooping特性。命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# no ipv6 nd snooping vlan vlan-rng | vlan-min vlan-max基于VLAN打开和关闭IPv6 ND Snooping例如：关闭VLAN 100的 IPv6 ND snoopingRuijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# no ipv6 nd snooping vlan 100例如：关闭VLAN 4，5-7，15的IPv6 ND snoopingRuijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# no ipv6 nd snooping vlan 4,5-7,15注意启动用户绑定时，所有VLAN必须使能ND Snooping。18.4 配置ND防攻击18.4.1 配置接口信任状态在默认情况下，所有接口的信任状态为untrust，您可以使用如下命令将某一接口的信任状态设置为trust：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# Interface interface_id进入接口配置模式。Step 3Ruijie(config-if)# ipv6 nd snooping trust配置接口IPv6 ND Snooping信任状态为trust例如：配置接口FastEthernet 0/1为Trust接口。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# interface fastethernet 0/1Ruijie(config-if)# ipv6 nd snooping trust18.4.2 配置ND防地址解析攻击命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# noipv6 nd snooping check address-resolution key-node-only 全局开关ND地址解析检查。key-node-only表示仅对关键节点地址解析检查，其工作原理请参见“ND自动防网关攻击”章节；不指明key-node-only则表示普通的防地址解析攻击，其工作原理请参见“ND防攻击”章节；例如：开启ND防地址解析攻击。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# ipv6 nd snooping check address-resolution例如：开启ND仅防关键节点地址解析攻击。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#ipv6 nd snooping check address-resolution key-node-only18.4.3 配置自动网关信息获取网关是关键节点的一种，若您开启了ND仅防关键节点地址解析攻击，您可通过指定可信网关信息，达到仅ND防网关地址解析攻击的目的。为了方便配置，并提供自适应性，您可使用如下命令自动学习网关信息，自动学习到的网关信息将作为关键节点信息用于防关键节点地址解析攻击。命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# noipv6 nd snooping detect gateway ra使能通过监听RA报文自动获取网关信息。Step 3Ruijie(config)# noipv6 nd snooping detect gateway vlan vlan-rng|vlan-min vlan-max使能VLAN自动获取网关功能例如：在无状态自动配置情况下，启动VLAN 1-64的自动网关信息获取功能。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# ipv6 nd snooping auto-gateway ra Ruijie(config)# ipv6 nd snooping auto-gateway vlan 1-6418.4.4 配置关键节点信息对于关键节点“网关”：在自动配置下，ND Snooping功能可以自动学习到网关的信息，若您使用手工方式分配IPv6地址，您可手工添加网关信息。对于关键节点“服务器”您也可以通过手工添加服务器信息。命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)#no ipv6 nd snooping key- node link-local vid ipv6_address/prefix_len添加用于ND防地址解析攻击检查的关键节点信息。您可指定IPv6前缀长度表明某个地址范围内所有的IPv6节点都为关键节点。如果输入关键字link-local，必须输入VID，并且后面的IPv6地址必须是链路本地地址。如果没有输入关键字link-local，后面的IPv6地址必须是全球单播地址。前缀长度取值范围是10到128。例如：手工添加网关节点信息。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#ipv6 nd snooping key-node 2003:1/128例如：手工添加服务器节点信息。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#ipv6 nd snooping key-node 2003:1001:8/12818.4.5 清除动态关键节点命令作用Ruijie#clear ipv6 nd snooping key-node vlan vid特权模式下，清空动态学习到的关键节点信息例如：清除所有动态学习到的关键节点信息。Ruijie# clear ipv6 nd snooping key-node例如：清除VLAN 8中动态学习到的关键节点信息。Ruijie# clear ipv6 nd snooping key-node vlan 818.5 配置无状态配置用户监管18.5.1 使能无状态配置用户监听在默认情况下，无状态配置用户监听特性是关闭的，您可以使用如下命令控制是否开启无状态配置用户监听特性：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# no ipv6 nd snooping monitor stateless-user打开和关闭无状态配置用户监听例如：全局开启无状态配置用户监听。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#ipv6 nd snooping monitor stateless-user18.5.2 配置无状态配置用户绑定在默认情况下，无状态配置用户绑定特性是关闭的，您可以使用如下命令控制是否开启无状态配置用户绑定特性及其绑定信息：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)#noipv6 nd snooping stateless-user address-bind strict ip-mac将监听到的IPv6无状态地址自动配置用户绑定到硬件，strict表示既绑定link-local地址，又绑定non-link-local地址，不带此参数表示仅绑定non-link-local地址，以节约表项。ip-mac表示需绑定IP+MAC信息，不带此参数表示仅绑定IP信息。例如：开启无状态配置用户绑定特性。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# ipv6 nd snooping stateless-user address-bind例如：使用严格模式绑定无状态配置用户。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# ipv6 nd snooping stateless-user address-bind strict例如：绑定无状态配置用户的IPv6 + MAC信息。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# ipv6 nd snooping stateless-user address-bind ip-mac18.5.3 配置联合安全监管命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# Interface interface_id进入接口配置模式。Step 3Ruijie(config-if)# noipv6 nd snooping stateless-user combine-security配置无状态配置用户绑定安全联合模式例如：开启接口FastEthernet 0/1联合安全监管Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# interface fastethernet 0/1Ruijie(config-if)# ipv6 nd snooping stateless-user combine-security18.5.4 无状态配置用户移动控制在默认情况下，采用先来先绑定的策略，不允许节点移动，在某些场景中，您可能需要IPv6节点移动，您可以使用如下命令控制：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)#no ipv6 nd snooping stateless-user station-move控制IPv6节点移动例如：开启IPv6节点移动特性。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#ipv6 nd snooping stateless-user station-move18.5.5 接入用户数量控制命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# Interface interface_id进入接口配置模式。Step 3Ruijie(config-if)# no ipv6 nd snooping stateless-user limit num配置接口允许接入的用户数，默认16例如：配置接口FastEthernet 0/1接入用户数为8Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# interface fastethernet 0/1Ruijie(config-if)# ipv6 nd snooping stateless-user limit 818.5.6 VLAN IPv6前缀数量控制一个VLAN中可以有多个IPv6前缀，每个前缀会生产相应的接口IP地址，过多的前缀会消耗过多的设备资源，您可以用如下命令控制每个VLAN支持的IPv6前缀数命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# no ipv6 nd snooping stateless-user per-vlan prefix-limit num配置每个VLAN支持的IPv6前缀数，默认两个。若监听到的前缀数大于所支持的数量，则优先保留值小者。例如：配置每个VLAN支持4个IPv6前缀数。Ruijie# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#ipv6 nd snooping stateless-user per-vlan prefix-limit 418.5.7 清除IPv6前缀命令作用Ruijie#clear ipv6 nd snooping prefix vlan vid特权模式下，清除全部或某VLAN中监听到的前缀例如：清除所有监听到的IPv6前缀。Ruijie# clear ipv6 nd snooping prefix例如：清除VLAN 8中监听到的IPv6前缀。Ruijie# clear ipv6 nd snooping prefix vlan 818.5.8 清除无状态配置用户命令作用Ruijie#clear ipv6 nd snooping stateless- user vlan vid特权模式下，清空无状态配置用户例如：清除所有无状态配置用户。Ruijie# clear ipv6 nd snooping stateless-user例如：清除VLAN 8中的无状态配置用户。Ruijie# clear ipv6 nd snooping stateless-user vlan 818.6 显示ND Snooping18.6.1 显示ND Snooping配置命令作用Ruijie# show ipv6 nd snooping interface显示ND snooping配置项，interface表示仅显示接口信息。例如：显示ND snooping配置Ruijie# show ipv6 nd snoopingSwitch ND snooping: enabledND Snooping is disabled on following VLANs:NoneRoute information check: enabledAddress resolution check: enabled, key-node-onlyGateway Detection: enabledGateway Detection is enabled on following VLANs:1-64Stateless-user monitor: enabledStateless-user bind: disabled, loose, IP-onlyStateless-user Per-vlan prefix-limit: 2Interface Trusted Combine-securityUser-limit- - - - Gi 0/1 Y - -Gi 0/2 N Y 16Gi 0/3 N Y 16例如：显示ND snooping 接口配置Ruijie# show ipv6 nd snooping interfaceInterface Trusted Combine-securityUser-limit- - - - Gi 0/1 Y - -Gi 0/2 N Y 16Gi 0/3 N Y 1618.6.2 显示关键节点命令作用Ruijie# show ipv6 nd snooping key-node显示关键节点信息例如：显示ND snooping关键节点信息Ruijie# show ipv6 nd snooping key-nodeKey-node amount: 2VLANIPv6 address TypeLifetime(s)- - - 2003:1/128 Manual INFINITE1 FE80:218:8BFF:FE84:b738/128 Dynamic180018.6.3 显示无状态配置用户命令作用Ruijie# show ipv6 nd snooping stateless-user动态监听到的无状态配置用户总数及其列表例如：显示学习到的无状态用户信息Ruijie# show ipv6 nd snooping stateless-userStateless-user amount: 3VLAN MAC addressInterfaceState IPv6 address- -1 0018:8b84.b738 Gi 0/1Active FE80:218:8bff:fe84:b738 * 2004:218:8bff:fe84:b738 *2 0018:8b84.b739 Gi 0/2 Active FE80:218:8bff:fe84:b7392005:218:8bff:fe84:b7393 0000.0000.0001 Gi 0/3 Detecting 注意若您启用无状态地址配置用户绑定，当硬件资源溢出时，无法绑定到硬件中的IPv6地址的尾部用*标注。18.6.4 显示IPv6前缀命令作用Ruijie# show ipv6 nd snooping prefix显示VLAN IPv6前缀配置和学习到的IPv6前缀例如：显示IPv6前缀相关信息Ruijie# show ipv6 nd snooping prefixVLAN Prefixlifetime(s)- -1 1001:/6418011002:/6418023001:/6418023002:/64180注意若监听到的前缀数大于所配置的数量，则保留和显示Prefix值小者。18.7 ND Snooping典型配置举例18.7.1 无状态自动配置18.7.1.1组网需求用户使用无状态自动配置方式分配IPv6地址，现准备部署IPv6 ND Snooping特性，以实现如下目的：1) 防ND路由信息攻击和防ND地址解析攻击。2) 监控网络中使用IPv6的用户，并对用户的IPv6地址进行绑定，以防止IPv6地址冒用3) 由于还准备部署ACL和QOS，希望ND snooping尽量减少对硬件资源的消耗，并实现多种安全策略共存。4) 由于已经部署了端口安全和802.1X IPv4认证授权体系，其期望IPv6能够继承这些安全策略，从而增加IPv6网络的安全性和管理性。5) ND Snooping特性要自动适应IPv6网络配置的变化。18.7.1.2组网拓扑1) 网络采用无状态地址自动配置的方式配置接口IPv6地址。2) Switch接口FA 0/1与路由器互连。3) 主机A与Switch接口FA 0/2互连，属于VLAN1，已使用802.1X方式接入。4) 主机B与Switch接口FA 0/3互连，属于VLAN2，已使用端口安全方式接入。5) 主机C与Switch接口FA 0/4互连，属于VLAN3，无接入控制。18.7.1.3配置要点1) 为减少硬件消耗，并和其它安全策略共存，用户绑定采用宽松模式，并只绑定IP信息。2) 使用联合安全模式继承IPv4已有安全策略。18.7.1.4配置步骤1） 开启IPv6 ND Snooping功能Ruijie#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#ipv6 nd snooping2） 配置接口的trust属性Ruijie(config)#interface fastethernet 0/1Ruijie(config-if)#ipv6 nd snooping trustRuijie(config-if)#exit3） 开启仅ND防地址解析攻击Ruijie(config)#ipv6 nd snooping check address-resolution4） 开启无状态配置用户监听Ruijie(config)#ipv6 nd snooping monitor stateless-user5） 开启无状态配置用户绑定Ruijie(config)#ipv6 nd snooping stateless-user address-bind6） 开启联合安全监管Ruijie(config)#interface range fastethernet 0/2-3Ruijie(config-if)# ipv6 nd snooping stateless-user combine-security18.7.1.5显示验证Ruijie# show ipv6 nd snoopingSwitch ND snooping: enabledND Snooping is disabled on following VLANs:NoneRoute information check: enabledAddress resolution check: enabledGateway Detection: disabledGateway Detection is enabled on following VLANs:NoneStateless-user monitor: enabledStateless-user bind: enabled, loose, IP-onlyStateless-user Per-vlan prefix-limit: 2Interface Trusted Combine-securityUser-limit- - - - Fa 0/1 Y - -Fa 0/2 N Y 16Fa 0/3 N Y 16Fa 0/4 N N 1618.7.2 有状态自动配置18.7.2.1组网需求用户使用DHCPv6分配IPv6地址，并开启了DHCPv6 snooping功能，现准备部署IPv6 ND Snooping特性，以实现防ND路由信息攻击和防ND地址解析攻击。18.7.2.2组网拓扑1) 网络采用DHCPv6方式配置接口IPv6地址,在Switch上开启ND Snooping和 DHCPv6 snooping。2) Switch接口FA 0/1与路由器互连。3) 主机A与Switch接口FA 0/2互连，属于VLAN1。4) 主机B与Switch接口FA 0/3互连，属于VLAN2。5) 主机C与Switch接口FA 0/4互连，属于VLAN3。18.7.2.3配置要点无18.7.2.4配置步骤1） 开启IPv6 ND Snooping功能Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#ipv6 nd snooping2） 配置接口的trust属性Ruijie(config)#interface fastethernet 0/1Ruijie(config-if)#ipv6 nd snooping trustRuijie(config-if)#exit3） 开启仅ND防地址解析攻击特性Ruijie(config)#ipv6 nd snooping check address-resolution 18.7.2.5显示验证Ruijie# show ipv6 nd snoopingSwitch ND snooping: enabledND Snooping is disabled on following VLANs:NoneRoute information check: enabledAddress resolution check: enabledGateway