上期我们介绍了SAVI中的主要技术之一DHCPv6 Snooping,解决了有状态配置下的非法主机接入的风险。今天我们就介绍SAVI的另一个主要技术——ND Snooping。
什么是NDP
NDP(Neighbor Discovery Protocol)邻居发现协议,是IPV6协议体系中一个重要的基础协议。它可以实现主机IP地址的无状态自动配置功能。NDP主要包含以下几个重要协议。
1. DAD
DAD(Duplicate Address Detect),重复地址检测,这个协议是NDP的重要协议之一,主要是为了探测是否有其他节点使用了该IP地址。所有的IPv6单播地址,包括自动配置和手动配置的单播地址,在节点使用之前都要通过重复地址检测。
2. NS和NA
在IPv4中,当主机需要和目标主机通信时,需要先通过ARP协议获得目的主机的MAC地址。在IPv6中,同样需要从IP地址解析到MAC地址的功能,邻居发现协议实现了这个功能,但是IPv6取消了ARP协议,而是通过邻居请求报文NS(Neighbor Solictation)和邻居通告报文NA(Neighbor Advertisement)来解析三层地址对应的链路层地址。
3. NUD
NUD(Neighbor Unreachability Detection)邻居不可达检测。
NDP的一个重要特征就是检测同一链路上以前相连通的两个节点现在是否依然连通,这就是通过NUD完成的。
ND Snooping
ND Snooping中的ND就是指NDP。通过以上大家基本了解了NDP的意义。那我们来看看ND Snooping又有哪些作用。
ND Snooping利用CPS(这个知识点第二期已经讲过了,不知道的同学赶紧关注“空间流”公众号看看)机制,接入设备(交换机、AP)根据端口收到的NDP报文,建立关于本地链路上节点的绑定信息表(IPV6地址,节点MAC地址和所属端口ID的绑定),然后根据节点绑定信息表项,下发硬件驱动规则,实现本地链路节点的准入控制。
特点
1. 配置简单
ND Snooping仅需配置全局启用功能,并在接口模式下启用功能,即可轻松将IPV6地址绑定受控。
2. 可以静态也可动态
ND Snooping支持静态和动态两种绑定方式。静态绑定时永久配置的,除非管理员手动删除。动态绑定是通过自动监听地址分配过程的报文来建立IP,MAC和所属端口的多元化绑定,并提供老化机制。
3. 安全受控的线速转发
在受控表项建立时,依据硬件规则放行流量和丢弃流量,完全不需上层协议干涉,绑定状态不随其他协议改变。
4. 重确认机制
对于无状态自动配置的IPV6而言,端口变换时,动态绑定的规则仅需重新建立即可。而静态绑定则需要重确认机制来保证整体网络连通性。
以上就是关于ND Snooping的分享,希望大家看完后能有所了解。
下一期将分享SAVI的主要方案场景,大家敬请期待。
未经授权,禁止转载。
