YD T 3998-2021 以太网接入方式下源地址验证技术要求 管理信息库.pdf

《YD T 3998-2021 以太网接入方式下源地址验证技术要求 管理信息库.pdf》由会员分享，可在线阅读，更多相关《YD T 3998-2021 以太网接入方式下源地址验证技术要求 管理信息库.pdf（43页珍藏版）》请在麦多课文档分享上搜索。

1、 120 YD ICS 33.160.60 M 32 中 华 人 民 共 和 国 通 信 行 业 标准 YD/T xxxxx-xxxx 代替 DA 代替IY 以 太 网接入 方 式下源 地 址验证 技 术要求 管 理信 息库 Technical requirements of management information base for source address validation in ethernet access network （ 报批稿） -发布 -实施 中华人民共和国工业和信息化部 发布 GB/T 1 目 次 前 言 . 2 1 范围 . 3 2 规范性引用文件 . 3 3

2、 术语、定义和缩 略语 . 4 3.1 术语和定义 . 4 3.2 缩略语 . 4 4 概述 . 4 5 SAVI-MIB 的结构 . 5 5.1 SAVI-MIB 系统表 . 5 5.2 SAVI-MIB 优先级表 . 6 5.3 SAVI-MIB 接口表 . 7 5.4 SAVI-MIB 绑定表 . 8 5.5 SAVI-MIB 过滤表 . 9 5.6 SAVI-MIB 计数表 . 10 6 文本规范 . 11 7 和其他 MIB 模块的关 系 . 11 7.1 和 INET-ADDRESS-MIB 模块的关系 . 11 7.2 和 IF-MIB 模块的关系 . 11 7.3 需要引用（I

3、MPORTS ）的 MIB 模块 . 12 8 SAVI-MIB 模型定义 . 12 9 SAVI-MIB 模型树结 构 . 40 GB/T 2 前 言 本标准是 以太 网接入 方 式下源地 址验证 技术要 求 系列标 准之一 ，本系 列 标准的名 称和结 构 预计如下 ： IP 源地址 验证技 术 要求框架 以太 网接入 方式下 源地址验 证技术 要求 框架 以太 网接入 方式下 源地址验 证技术 要求 DHCPv4 场景 以太 网接入 方式下 源地址验 证技术 要求 DHCPv6 场景 以太 网接入 方式下 源地址验 证技术 要求 SLAAC 场景 以太网接 入方式 下源地 址验证技 术要

4、求 多种地 址分配方 式共存 场景 公众无线 局域网 接入方 式下源地 址验证 技术要 求 以太 网接入 方式下 源地址验 证技术 要求 管 理信息库 本标准按 照GB/T 1.12009 给 出的规 则起草 。 请注意本 文件的 某些内 容 可能涉 及 专利。 本文件 的 发布机构 不承担 识别这 些 专利的责 任。 本标准 由中 国通 信标 准化 协会提 出并 归口 。 本标准起 草单位 ：清华 大 学 本标准主 要起草 人：安 常 青、杨家 海、吴 建平、 毕 军等。 GB/T 3 以太网 接入方式下源地址 验证技术要求 管理信息库 1 范围 本标准 规定 了网 络设 备中SAVI 协

5、议实 现应 该支 持的 管 理信息 库。 本标准 适用 于对 网络 设备 中SAVI 协议 实现 的配 置参 数及运 行状 态进 行管 理。 2 规范性引用文件 下列文 件对 于本 文件 的应 用是必 不可 少的 。 凡 是注 日期的 引用 文件 ， 仅 所注 日期的 版本 适用 于本 文 件。凡 是不 注日 期的 引用 文件， 其最 新版 本（ 包括 所有的 修改 单） 适用 于本 文件。 IETF RFC 2131 动态 主机 配置协 议（Dynamic Host Configuration Protocol ） IETF RFC 2578 管理 信息 结构版 本2 （Structure

6、of Management Information Version 2 (SMIv2) ） IETF RFC 2579 SMIv2 文 本 规范（Textual Conventions for SMIv2 ） IETF RFC 2580 SMIv2 一致性 声明 （Conformance Statements for SMIv2 ） IETF RFC 2863 接口 组MIB （The Interfaces Group MIB ） IETF RFC 3315 IPv6 动态 主 机配置 协议 （Dynamic Host Configuration Protocol for IPv6 (DHCP

7、v6) ） IETF RFC 3971 安全 邻居 发现（SEcure Neighbor Discovery (SEND) ） IETF RFC 4001 因特 网网 络 地址文 本规 范 （Textual Conventions for Internet Network Addresses ） IETF RFC 4862 IPv6 无状 态地址 自动 配置 （IPv6 Stateless Address Autoconfiguration ） IETF RFC 6620 FCFS 地址 分配模 式下 源地 址验 证（FCFS SAVI: First-Come, First-Served So

8、urce Address Validation Improvement for Locally Assigned IPv6 Addresses ） IETF RFC 7039 源地 址验 证 改进框 架 （Source Address Validation Improvement (SAVI) Framework ） IETF RFC 7219 SEND 地 址 分 配 模 式 下 源地址验证（SEcure Neighbor Discovery (SEND) Source Address Validation Improvement (SAVI) ） IETF RFC 7513 DHCP 地

9、址分 配模式 下 源 地址 验证 （Source Address Validation Improvement (SAVI) Solution for DHCP ） IETF RFC 8074 混 合地 址分 配模式 下 源 地址 验证 （Source Address Validation Improvement (SAVI) for Mixed Address Assignment Methods Scenario ） GB/T 4 3 术语、定义和缩略语 3.1 术语和定义 下列术 语和 定义 适用 于本 文件。 3.1.1 源地址验证 source address validation

10、在IP报 文路 由寻 址过 程中 ，对其 携带 的源 地址 的有 效性进 行验 证。 3.1.2 源地址验证 改进 source address validation improvement 在主机 接入交 换机/ 路由器 下执行 的源地 址验 证技术 ， 将不 允许主 机假 冒任意 非合法 分配或 配置 的 地址。 3.2 缩略语 下列缩 略语 适用 于本 文件 。 DHCP 动 态 主机配 置协 议 Dynamic Host Configuration Protocol MIB 管 理 信息库 Management Information Base SAVI 源地 址验证 改进 Sourc

11、e Address Validation Improvement SAVI-MIB SAVI 管理信 息库 SAVI Management Information Base SEND 安全 邻 居发现 协议 Security Neighbor Discovery SLAAC 无状 态 地址自 动配 置 Stateless Address Autoconfiguration SNMP 简 单网 络 管理协 议 Simple Network Management Protocol 4 概述 本 标准定 义 了针对SAVI 协议 的管理 信息库SAVI-MIB 的 设计， 可以通过 标准的网 络管理

12、 协议SNMP 对 SAVI-MIB 中 的对 象进 行操 作。 通 过SAVI-MIB ， 可 以对SAVI 设 备进 行管 理配 置， 设 置SAVI 协议 的运 行参 数， 获取SAVI 协 议中 的运 行数 据。 SAVI-MIB 的 设计 遵循SAVI 协议标 准， 其目 标包 括： a） 通过SNMP 协议 对 SAVI 协 议进行 管理 和监 视 ； b） 支持 对SAVI 协 议中 参数 的 配置和 查询 ； GB/T 5 c） 支持 对SAVI 协 议中 绑定 表 项的配 置和 查询 ， 支 持网 络管理 员手 动插 入和 删除 绑定表 项 ； d） 支持对 过滤 表项 的查

13、 询 ； e） 支持对 由于 没有 遵 从 SAVI 协议而 被丢 弃报 文的 统计 信息查 询。 SAVI-MIB 的 对象 定义 来源 于SAVI 协议 ，基 于SAVI 协 议，SAVI-MIB 的 对象 分为 以下几 种类 型： a） 系统属 性 ： 这 些对 象包 括 SAVI 系 统的 全局 运行 参数 ， 如 IP 地址 分配 场景 为 DHCP 、 SLAAC 、 SEND 等中的 一种 或者 几种 ，以 及一些 系统 参数 ； b） 优先级 属性 ：当 网络 设备 同时存 在多 种 IP 地 址分 配 模式时(DHCP 、SLAAC 、SEND 等) ，其 产生 的IP 绑定

14、 表项 的优 先级 ； c） 网络接 口的 属性 ： 网络 设 备接口 相关 的一 些属 性 ， 如是否 在该 接口 开启 源地 址过滤 功能 。 使用 网络接 口作 为 绑 定锚 （RFC7039 ）， 可以 有效 防止 源地址 假冒 ； d） 绑定状 态表 ： 该 表包 含源 地址和 绑定 锚之 间的 绑定 关系及 状态 信息 ， 该 表允 许 网络 管理 员进 行 插入删 除操 作 ； e） 过滤表 ： 该 表包 含源 地址 和 绑定锚 之间 的绑 定关 系， 该 表被网 络设 备的 数据 平面 用来 过 滤报 文 ； f） 计数表 ：该 表包 含 由 于没 有遵 从SAVI 协 议而

15、被丢 弃 报文的 统计 信息 。 5 SAVI-MIB的结构 SAVI-MIB 为 每一 类对 象定 义了一 个表 结构 ，以 下对 每个表 结构 中的 对象 进行 详细介 绍。 5.1 SAVI-MIB 系统表 SAVI-MIB 中 的系 统表(saviObjectsSystemTable) 包 含 作用于SAVI 协议 系统 全局 的参数 。 它 支持 针对 SAVI系 统全 局参 数的 配置 和查询 。 该表对 于每 个协 议栈 （IPv4 和IPv6 ） 对应 一个 单独 的 表项。 该表 的索 引为 ： saviObjectsSystemIPVersion IP 协 议 版 本 号

16、。IP 协 议 版 本 号 的 类 型 为InetVersion ， 该 类 型 在 RFC4001 中定 义。 该表包 含的 对象 包括 ： a） saviObjectsSystemSlaacEnable 是 否开 启了SLAAC 模式下 的源 地址 过滤 ； b） saviObjectsSystemDhcpEnable - 是 否开 启了DHCP 模 式下的 源地 址过 滤 ； c） saviObjectsSystemSendEnable - 是 否开 启了SEND 模 式下的 源地 址过 滤 ； d） saviObjectsSystemManualEnable 是否 支持 手动IP配置模

17、 式的 源 地 址过 滤。 GB/T 6 这些对 象的 访问 权限 （MAX-ACCESS）为READ-WRITE 。 网络管 理员 可以 通过 设置 这些对 象进 行配 置。 表1为 该表 中内 容的 示例 ： 表1 SAVI-MIB 系统 表示例 IP 版本 号 SlaacEnable DhcpEnable SendEnable ManualEnable 4 1 1 0 1 6 1 1 0 1 在该示 例中，IPv4 和IPv6 协议下 启动了SLAAC 和DHCP 模式下 的源地 址过滤 ，支 持手动IP 配置 模式 的 源地址 过滤 。 5.2 SAVI-MIB 优先级表 SAVI-M

18、IB 优 先级表 （saviObjectsPreferenceTable ）表示不 同IP地 址分配 模 式所创建 的绑定 表表 项的优 先级 。 该表对 于每 个协 议栈 （IPv4 和IPv6 ） 对应 一个 单独 的 表项。 该表 的索 引为 ： saviObjectsPreferenceIPVersion IP 协议版 本号 。 IP协议 版本号 的类型为InetVersion ，该 类 型在RFC4001 中定 义。 该表包 含的 对象 包括 ： a） saviObjectsPreferenceSlaac SLAAC 模式 的优 先级 ； b） saviObjectsPreferen

19、ceDhcp - DHCP 模式 的优 先级 ； c） saviObjectsPreferenceSend - SEND 模式 的优 先级 ； d） saviObjectsPreferenceManual 手 动模 式的 优先 级 。 这些对 象的 访问 权限 （MAX-ACCESS）为READ-WRITE 。 网络管 理员 可以 通过 设置 这些对 象进 行配 置。 表2为 该表 中内 容的 示例 ： 表2 SAVI-MIB 优先 级 表 示例 IP 版本 号 Slaac Dhcp Send Manual 4 4 3 2 1 GB/T 7 6 4 3 2 1 在该示 例中 ，IPv4 和IP

20、v6 协议下 定义 了每 种模 式对 应的优 先级 ，其 中MANUAL ：1，SEND ：2，DHCP ： 3，SLAAC ：4。 5.3 SAVI-MIB 接口表 SAVI-MIB 接口 表(saviObjectsPortTable) 包含 每个 接口对 应的SAVI 运行 参数 。 该表对 于每 个协 议栈 （IPv4 和IPv6 ） 对应 一个 单独 的 表项。 该表 的索 引为 ： a） saviObjectsPortIPVersion IP 版本 号 ； b） saviObjectsPortIfIndex 接口 对应 的索 引值 ， 可 以唯一 地指 定该 表项 对应 的设备 接口

21、,类型 为InterfaceIndex ， 定义 于RFC2863 ； c） saviObjectsPortValidatingAttr 该接 口是 否对 报 文进行 源地 址验 证， 一般 对连接 用户 的接 口设置 该属 性 ； d） saviObjectsPortDhcpTrustAttr 该 接口 是否 允许DHCP 协 议中 的 “ 服务 器-客 户端” 消息 ， 一 般对连 接有DHCP 服务 器的 接口设 置该 属性 ； e） saviObjectsPortTrustAttr 该接 口是否 被设置 为 可信任的 ，即允 许任意 报 文通过。 一般 对 设备的 上联 接口 设置 该

22、属 性 ； f） saviObjectsPortDhcpSnoopingAttr 是 否 基于DHCP 交 互 消 息 的 监 听 建立IP 地 址 和 绑 定 锚 的 绑定关 系 ； g） saviObjectsPortDataSnoopingAttr 是 否 基 于 数 据 报 文 触 发 建 立IP 地 址 和 绑 定 锚 的 绑 定 关 系； h） saviObjectsPortFilteringNum 绑 定锚 可以 对应 绑 定的IP 地址 数量 。 这些对 象的 最大 访问 权限 （MAX-ACCESS）为READ-WRITE 。 网络 管理 员可 以通 过 设置这 些对 象进

23、行配 置。 表3为 该表 中内 容的 示例 ： 表3 SAVI-MIB 接口 表示例 IP版 本号 IfIndex Validating DhcpTrust Trust DhcpSnooping DataSnooping FilteringNum GB/T 8 4 1 0 0 1 0 0 0 6 1 0 0 1 0 0 0 4 2 1 0 0 1 1 128 6 2 1 0 0 1 1 128 4 3 1 0 0 1 1 128 6 3 1 0 0 1 1 128 在该示 例中 ，IfIndex 1 的接口 连接 的设 备为 安全 设备 ， 如 路由 器 ， 因 此其Trust 设 置为1 ，

24、 其 他接 口连接 的为 普通 用户 主机 ，因此Validating 为1，并且DhcpSnooping 、DataSnooping 为1 。 5.4 SAVI-MIB 绑定表 SAVI-MIB 绑定表 (saviObjectsBindingTable) 包含在SAVI 协 议 中 的 绑 定 状 态 表 （Binding State Table ,BST ） 对 应的 对象 。 该表中 可以 包含 管理 员手 动添加 的表 项， 这些 表项 的类型 为 “manual ” ， 该 类型的 表项 可以 被插 入或 者删除 。 该表的 索引 为： a) saviObjectsBindingIp

25、AddressType IP地 址类 型， 该 类型InetAddressType定义于RFC4001 ； b) saviObjectsBindingMethod 该 表项 是通 过哪 种地 址分配 方式 创建 的。 manual(1), slaac(2), dhcp(3), send(4) ； c) saviObjectsBindingIfIndex - 接 口对应 的索引 值 ， 可以唯一 地指定 该表项 对 应的设备 接口, 类型为InterfaceIndex ， 定义于RFC2863 ； d) saviObjectsBindingIpAddress 绑 定的 源IP 地址， 其类型 为

26、InetAddress ， 定 义于RFC4001 。 该表包 含以 下表 项： a） saviObjectsBindingMacAddr 绑定 的源MAC 地 址。 b） saviObjectsBindingLifetime 绑定 表项 的剩 余生 存时间 ，2147483647 表示 无时间 限制 。 c） saviObjectsBindingCreationtime - 绑定 表项 的创 建时间 。 d） saviObjectsBindingRowStatus 绑定表项 的状态 ， 类型为RowStaus ，定义 见RFC2579。通 过 设 置 该 对 象 的 值 ， 可 以 进 行

27、表 项 创 建 和 删 除 。 在 本 绑 定 表 中 ， 只 有 当 saviObjectsBindingMethod=manual 时 允 许 对表 项进 行删除 、插 入操 作 。 GB/T 9 RowStaus 的 不同 值代 表不 同的状 态或 者操 作： a） active(1) ：表 示该 行数 据 可以正 常使 用； b） notInService(2) ： 该行 表 项不能 正常 使用 ，发 生了 某个错 误； c） notReady(3) ： 未准 备好 状 态； d） createAndGo(4) ：管 理者 通过设 置该 值， 表示 要创 建一个 新的 行数 据， 当创

28、 建成功 后， 其状 态转变 为active ； e） createAndWait(5) ： 管理 者通过 设置 该值 ，表 示要 创建一 个新 的行 数据 ，但 是当创 建成 功 后，状 态并 不要 转变 为 active ； f） destroy(6) ：管 理者 通过 设置该 值， 表示 要把 对应 的行删 除 。 这些对 象的 最大 访问 权限 （MAX-ACCESS）为READ- CREATE 。 网络 管理 员可 以通 过设置 这些 对象 进行 表项的 创建 和删 除。 表4为 该表 中内 容的 示例 ： 表4 SAVI-MIB 绑定 表示例 IpAddressType Bindi

29、ngMethod IfIndex IpAddress MacAddr Lifetime Creationtime RowStatus 6 1 2 2001:da8:1 010d 2147483647 2017 1 6 2 2 2001:da8:eaca ab02 3322322 2017 1 6 3 3 Fe80: 0900 3245 2017 1 6 3 3 Fe80: 02de 89898 2017 1 在该示 例中,第 一行 为manual 方式 添加 的绑 定表 项， 第2行 是通 过DHCP 模 式添 加 的绑定 表项 ， 第3 行、 4行是 通过SLAAC 模式 添加 的绑定 表项

30、 。所 有表 项的RowStatus都为active(1) ， 即正常 可用 的。 5.5 SAVI-MIB 过滤表 SAVI-MIB 过滤 表（saviObjectsFilteringTable ）应 用于数据 层面的 报文 验 证 过滤，该 表由系 统基 于SAVI-MIB 绑定 表项 生成 ，网络 设备 基于 该表 项对 源IP 地 址进 行过 滤。 该表的 索引 为： a) saviObjectsFilteringIpAddressType - IP 地 址 类 型 ， 该 类 型InetAddressType 定 义 于 RFC4001 。 b) saviObjectsFilteri

31、ngIfIndex - 接 口 对 应 的 索 引 值 ， 可 以 唯 一 地 指 定 该 表 项 对 应 的 设 备 接 口。 GB/T 10 c) saviObjectsFilteringIpAddress - 绑 定 的 源IP 地 址 ， 其 类 型 为InetAddress ， 定 义 于 RFC4001 。 该表包 含以 下表 项： a) saviObjectsFilteringMacAddr - 绑 定的 源MAC 地址 。 这些对 象的 最大 访问 权限 （MAX-ACCESS）为READ-ONLY 。 只 允许 对该 表进 行查 询操作 。 表5为 该表 中 内容的 示例 ：

32、 表5 SAVI-MIB 过滤 表示例 IpAddressType IfIndex IpAddress MacAddr 6 2 2001:da8:1 010d 6 2 2001:da8:eaca ab02 6 3 Fe80: 0900 6 3 Fe80: 02de 在该示 例中 的过 滤表 和前 面的绑 定表 内容 一致 。 没 有 出现在 该过 滤表 中的 源IP 地址对 应的 报文 将被 丢弃。 5.6 SAVI-MIB 计数表 SAVI-MIB 计 数表(saviObjectsCountTable) 包含 由于 没有遵 从SAVI 协 议而 被丢 弃报文 的统 计信 息。 该表的 索引

33、为： a) saviObjectsCountIPVersion - IP协 议版 本号 。 b) saviObjectsCountIfIndex 接 口对 应的 索引 值， 可 以唯一 地指 定该 表项 对应 的设备 接口 。 该表包 含以 下表 项： a) saviObjectsCountFilterPkts - 由于 没有 遵从SAVI 协议而 被丢 弃的 报文 数。 b) saviObjectsCountFilterOctets - 由 于没 有遵 从SAVI 协议 而被 丢弃 的字 节数 。 这些对 象的 最大 访问 权限 （MAX-ACCESS）为READ-ONLY 。 只 允许 对

34、该 表进 行查 询操作 。 表6为 该表 中 内容的 示例 ： GB/T 11 表6 SAVI-MIB 计数 表示例 IPVersion IfIndex FilterPkts FilterOctets 6 2 15890 5034038 6 3 333566 87626906 6 4 67788 26818056 6 6 876666 405597258 在该示 例中 ，显 示了IfIndex 为2-6的 接口 丢弃 的报 文 数和字 节数 。 6 文本规范 SAVI-MIB 引用 的文 本规 范 包括： a） MODULE-COMPLIANCE,OBJECT-GROUP 文 本规 范引 用自

35、SNMPv2-CONF RFC2580 。 b） MODULE-IDENTITY,OBJECT-IDENTITY,OBJECT-TYPE,Unsigned32 文 本规 范引 用自 SNMPv2-SMIRFC2578 。 c） MacAddress,TimeInterval,RowStatus 文 本规 范引 用 自 SNMPv2-TC RFC2579 。 d） InetVersion,InetAddressType,InetAddress 文本 规 范引用 自INET-ADDRESS-MIB RFC4001 。 e） InterfaceIndex 文本 规范 引用自IF-MIBRFC2863

36、 。 7 和其他MIB模块的关系 7.1 和 INET-ADDRESS-MIB模块的关系 为了支 持可扩 展性，RFC4001 定 义了新 的文 本规范 ，用一 个统一 的格式 来表 示不同 的IP协 议版 本 和IP 地 址格 式 。InetVersion被定 义用 来表 示不 同的IP 协议 版本 。 统 一的IP地 址 定义包 含2 个对 象： 第一 个对象 为InetAddressType ， 第 二个 对象为InetAddress ， 第一 个对象 的值 决定 第二个 对象 的编 码方 式。 SAVI 协 议同 时支 持IPv4 和IPv6 ， 在不 同的 协议 模式 下 ， 可 以

37、允 许采 用不 同的 源IP 验证 地址 模式 ， 其 IP地址 定义 遵循INET-ADDRESS-MIBRFC4001 中 的文 本规范 。 7.2 和 IF-MIB模块的关系 RFC2863 定 义了 用于管 理 设备接 口的管 理对象 ，在 本标准 中包含 有针对 接口 的对象 参数， 使用 了 在该文 档中 定义 的ifIndex RFC2863 作为 对接 口的 标识。 GB/T 12 7.3 需要引用（IMPORTS）的 MIB 模块 SAVI-MIB 中 需要 引用MIB 模 块包括 ： SNMPv2-SMI RFC2578 ，SNMPv2-TC RFC2579 ，SNMPv2

38、-CONF RFC2580 ，INET-ADDRESS-MIB RFC4001 和IF-MIB RFC2863 。 8 SAVI-MIB模型定义 按 照IETF RFC 2578 、RFC 2579 、RFC 2580 的相 关 规 范，SAVI-MIB 的 定 义 如下 ： SAVI-MIB DEFINITIONS :=BEGIN IMPORTS MODULE-COMPLIANCE,OBJECT-GROUP FROM SNMPv2-CONF -RFC2580 MODULE-IDENTITY, OBJECT-IDENTITY, OBJECT-TYPE, Unsigned32 FROM SNMP

39、v2-SMI -RFC2578 TEXTUAL-CONVENTION,MacAddress,TimeInterval,RowStatus FROM SNMPv2-TC -RFC2579 InterfaceIndex FROM IF-MIB -RFC2863 InetVersion,InetAddressType,InetAddress FROM INET-ADDRESS-MIB -RFC4001 ip FROM IP-MIB -RFC4293 ; saviMIB MODULE-IDENTITY LAST-UPDATED 201710170000Z ORGANIZATION IETF SAVI Working Group GB/T 13 CONTACT-INFO WG charter: http:/datatracker.ietf.org/wg/savi/charter/ Editor: Changqing An CERNET Postal: Institute for Network Sciences and Cyberspace, Tsinghua University Beijing 100084 China Email: DESCRIPTIO