YD T 3995-2021 以太网接入方式下源地址验证技术要求 DHCPv4场景.pdf

《YD T 3995-2021 以太网接入方式下源地址验证技术要求 DHCPv4场景.pdf》由会员分享，可在线阅读，更多相关《YD T 3995-2021 以太网接入方式下源地址验证技术要求 DHCPv4场景.pdf（43页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 以太网接入方式下源地址验证技术要求 DHCPv4 场景 Technical requirements of ethernet source address validation improvement for DHCPv4 （报批稿） -发布 - 实施 中华人民共和国工业和信息化部 发布 YD/T i 目 次 前 言 . IV 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 2 3.1 术语和定义 . 2 3.2 缩略语. 6 4 概述 . 7 5 部署场景和配置

2、 . 8 5.1 元素和场景 . 8 5.2 SAVI 绑定类型属性 . 10 5.2.1 信任属性 . 10 5.2.2 DHCP 信任属性 . 10 5.2.3 DHCP-Snooping 属性 . 10 5.2.4 Data-Snooping 属性 . 11 5.2.5 验证属性 . 11 5.2.6 属性互斥情况 . 12 5.3 范围. 12 5.3.1 SAVI-DHCP 范围概述 . 12 5.3.2 SAVI-DHCP 范围配置指南 . 13 5.3.3 关于 DHCP 服务器和中继的位置 . 13 5.3.4 可选部署方案 . 14 5.3.5 关于绑定锚的考虑 . 15 5

3、.4 设备的其他配置 . 15 6 绑定状态表（BST） . 15 7 DHCP-SNOOPING 过程 . 16 7.1 基本原理 . 16 7.2 绑定状态描述 . 17 7.3 事件. 17 7.3.1 计时器超时事件 . 17 7.3.2 DHCP 控制报文到达事件 . 17 7.4 DHCP-SNOOPING 过程的状态机 . 19 YD/T ii 7.4.1 当前状态为：NO_BIND 未绑定 . 19 7.4.2 当前状态为：INIT_BIND 初始绑定 . 20 7.4.3 当前状态为：BOUND 已绑定 . 21 7.4.4 状态机表 . 23 8 DATA-SNOOPING

4、 过程 . 24 8.1 场景. 24 8.2 基本原理 . 25 8.3 其他的绑定状态描述 . 26 8.4 事件. 26 8.5 发送消息的功能 . 27 8.5.1 发送重复检测消息 . 27 8.5.2 发送 LeaseQuery 消息 . 28 8.5.3 发送地址验证消息 . 28 8.6 当前状态为：NO_BIND . 28 8.6.1 事件：EVE_DATA_UNMATCH：收到一个没有匹配绑定表的数据包 . 29 8.6.2 Data-Snooping 过程中在 NO_BIND 状态下未处理的事件 . 29 8.7 当前状态为：DETECTION . 30 8.7.1 事件

5、：EVE_ENTRY_EXPIRE . 30 8.7.2 事件：EVE_DATA_CONFLICT：收到来自非目标系统的 ARP Reply/NA 消息 . 31 8.7.3 在 DETECTION 状态下忽略的事件 . 31 8.8 当前状态为：RECOVERY . 31 8.8.1 事件：EVE_DATA_LEASEQUERY，收到有效的 DHCPLEASEACTIVE 消息 . 31 8.8.2 事件：EVE_ENTRY_EXPIRE 事件 . 31 8.8.3 在恢复过程中忽略的事件 . 32 8.9 当前状态为：VERIFY . 32 8.9.1 事件：EVE_DATA_LEASEQ

6、UERY 事件：收到一个有效的 DHCPLEASEACTIVE 事件或成功的 LEASEQUERY-REPLY 事件 . 32 8.9.2 事件：EVE_DATA_VERIFY 事件：从绑定锚连接的设备收到一个有效的 ARP 应答或 NA 消息 . 32 8.9.3 事件：EVE_ENTRY_EXPIRE 事件 . 33 8.9.4 事件：EVE_DATA_EXPIRE 事件 . 33 8.9.5 在验证过程中忽略的事件 . 33 8.10 当前状态为：BOUND. 34 8.11 状态机表 . 34 9 过滤定义 . 35 9.1 数据包过滤 . 35 YD/T iii 9.2 控制报文过滤

7、 . 36 10 状态恢复 . 37 10.1 属性配置的恢复 . 37 10.2 绑定状态的恢复 . 37 11 常量定义 . 37 YD/T iv 前 言 本标准是 以太 网接入 方 式下源地 址验证 技术要 求 系列标 准之一 ，本系 列 标准的名 称和结 构 预计如下 ： -IP 源地址验证技 术要求框 架 - 以太网接入 方式 下源地址 验证技 术要求 框架 - 以太网接入 方式 下源地址 验证技 术要求 DHCPv4 场景 - 以太网接入 方式 下源地址 验证技 术要求 DHCPv6 场景 - 以太网接入 方式 下源地址 验证技 术要求 SLAAC 场景 - 以太网接入方式 下源

8、地址验证 技术要 求 多种 地址分配 方式共 存场景 - 公众无线局域网 接入 方式下源 地址验 证技术 要 求 - 以太网接入 方式 下源地址 验证技 术要求 管理信息 库 本 标准按照 GB/T 1.1-2009 给出的 规则起 草。 请注意本 文件的 某些内 容 可能涉及 专利。 本文件 的 发布机构 不承担 识别这 些 专利的责 任。 本标准由 中国通 信标准 化 协会提出 并归口 。 本标准 参加 单位： 清华 大 学 、 中 国互 联网络 信息 中 心、 华 为技 术有限 公司 、 新华三 技术 有限 公司 。 本标准 主要 起草 人： 毕军 、 吴建 平、 姚广 、胡 虹雨 、李

9、丹 （女 ）、 李星 、刘 莹、徐 恪、 徐明 伟、 崔勇、 王旸 旸等 。 YD/T 1 以 太 网 接 入 方 式下 源 地 址 验 证 技术 要 求 DHCPv4 场景 1 范围 本标准 规定 了以 太网 接入 方式下DHCPv4 场 景的 源地 址验证 技术 要求 ， 主 要包 括 ：DHCPv4 控制 报文 监 听建立 绑定 表过 程及 其状 态机、 数据 报文 触发 建立 绑定表 过程 及其 状态 机、 数据包/控制 报 文过 滤过程、 状态恢 复过程 等 。 本标准 适用 于 以 太网 接入 方式 下 DHCPv4 场景 的源 地 址验证 。 2 规范性引用文件 下列文 件对 于

10、本 文件 的应 用是必 不可 少的 。 凡 是注 日期的 引用 文件 ， 仅 所注 日期的 版本 适用 于本 文 件。凡 是不 注日 期的 引用 文件， 其最 新版 本（ 包括 所有的 修改 单） 适用 于本 文件。 IETF RFC 826 以太 网 ARP 协议 （Ethernet Address Resolution Protocol ：Or Converting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware ） IETF RFC2131 动态主 机配

11、 置协 议 （Dynamic Host Configuration Protocol ，DHCP ） IETF RFC2827 网络入 口过 滤协议 （Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing ） IETF RFC3315 IPv6 动 态主 机配 置协 议 （ Dynamic Host Configuration Protocol for IPv6 ， DHCPv6 ） IETF RFC3736 IPv6 无状态动态主机配置 协议

12、 （ Stateless Dynamic Host Configuration Protocol （DHCP ） Service for IPv6 ） IETF RFC4388 DHCP 租 期查 询协 议 （ Dynamic Host Configuration Protocol （ DHCP ） Leasequery ） ITTF RFC4861 IPv6 邻 居发 现协 议 （Neighbor Discovery for IP version 6 （IPv6 ） ） YD/T 2 IETF RFC5007 DHCPv6 租期 查询 协议 （DHCPv6 Leasequery ） IETF

13、 RFC5227 IPv4 地 址冲 突发 现协议 （IPv4 Address Conflict Detection ） IETF RFC6620 本地 IPv6 地 址的 先到 先服 务源地 址验 证改 进方 法 （FCFS SAVI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses ） IETF RFC7039 源地址 验证 改进 框架 （Source Address Validation Improvement （SAVI ） Framew

14、ork ） IETF RFC7341 通过 DHCPv6 传送 DHCPv4 消息 （DHCPv4-over-DHCPv6 (DHCP 4o6) Transport ） 3 术语、定义和缩略语 3.1 术语和定义 下列术 语和 定义 适用 于本 文件。 3.1.1 源地址验证 source address validation 在IP 报 文路 由寻 址过 程中 ，对其 携带 的源 地址 的有 效性进 行验 证。 3.1.2 接入网源地址验证/源地址验证增强 source address validation improvement 在主机 所在 接入 网执 行的 源地址 验证 技术 ， 将

15、不允 许主机 假冒 任意 非合 法分 配或配 置 的 地址 。 是 源 地址验 证的 第一 步关 卡， 因此谓 之源 地址 验证 增强 。 3.1.3 绑定表 bindings 监听地 址分 配过 程， 形成 的 合法IP 地 址与 对应 绑定 锚的组 合信 息 。 3.1.4 绑定锚 binding anchor YD/T 3 所连 设 备的 物理 层或 链路 层 属性 ，如RFC7039 。 该 文件 第 3.2 节中 给出 了绑 定锚 的 示例 列表 。绑 定锚 应 尽可 能地 将 IP 地址 与标识 某一 单客 户 端 系统 或其 某 一接 口 的 、无法 被 假冒 的 属性 关联 起

16、来 。详 见第 5.3.5 节。 3.1.5 属性 attribute 每个绑 定锚 （ 端口、MAC 地址或 其他 信息 ） 的可 配 置属性， 该 属 性表 示了 对 来自相 应属 性 所 连网 络设备 的 数 据包 应执 行的 操作。 3.1.6 DHCP地址 DHCP address 通过 DHCP 协 议分 配的 地 址。 3.1.7 SAVI设备 SAVI device 具有并 开启 了SAVI-DHCP 功能的 网络 设备 。 3.1.8 非SAVI设备 non-SAVI device 不具备SAVI-DHCP 功 能的 网络设 备。 3.1.9 DHCP 客户端-服务器消息 D

17、HCP client-to-server message 从DHCP 客户 端到DHCP 服 务器的 消息 。 注：并是以下类型之一： DHCPv4 Discover：DHCPDISCOVER RFC2131。 DHCPv4 Request：DHCPREQUEST 产生于 SELECTING 状态RFC2131。 DHCPv4 Renew：DHCPREQUEST 产生于 RENEWING 状态RFC2131。 DHCPv4 Rebind：DHCPREQUEST 产生于 REBINDING 状态RFC2131。 YD/T 4 DHCPv4 Reboot：DHCPREQUEST 产生于 INIT-

18、REBOOT 状态RFC2131。 （提示：DHCPv4 Request/Renew/Rebind/Reboot 消息在RFC2131表4 中有列出。） DHCPv4 Decline：DHCPDECLINE RFC2131。 DHCPv4 Release：DHCPRELEASE RFC2131。 DHCPv4 Inform：DHCPINFORM RFC2131。 3.1.10 DHCP服务器-客户端消息 DHCP server-to-client message 从DHCP 服务 器到DHCP 客 户端的 消息 。 注：并是以下类型之一： DHCPv4 ACK：DHCPACK RFC2131。

19、 DHCPv4 NAK：DHCPNAK RFC2131。 DHCPv4 Offer：DHCPOFFER RFC2131。 DHCPv4 DHCPLEASEACTIVE：对DHCPLEASEQUERY 消息的响应，要求包含租期信息RFC4388。 DHCPv4 DHCPLEASEUNKNOWN：对 DHCPLEASEQUERY 消息的响应，要求表明服务器不管理该地址RFC4388。 DHCPv4 DHCPLEASEUNASSIGNED：对 DHCPLEASEQUERY 消息的响应，要求表明服务器管理该地址但现在没有租期 信息RFC4388。 3.1.11 租期时间 lease time IPv4

20、地 址的 租期 时间 或IPv6地址 的有 效生 存时 间。 3.1.12 绑定表项 binding entry 关联IP 地址 和绑 定锚 的一 个规则 。 3.1.13 绑定状态表 binding state table YD/T 5 包含绑 定表 项的 表。 3.1.14 绑定表项限制 binding entry limit 绑定锚 所能 关联 的最 多的 绑定表 项的 数目 。 3.1.15 直接相连 direct attachment SAVI 设 备是 主机 直接 相连 的接入 设备 。该 种情 况， 主机直 接接 入SAVI 设 备上 。 3.1.16 间接相连 indirect attachment SAVI 设 备可 能是 其他 接入 设备连 接的 汇聚 设备 ， 主 机 最终与 其