YD T 3996-2021 以太网接入方式下源地址验证技术要求 DHCPv6场景.pdf

《YD T 3996-2021 以太网接入方式下源地址验证技术要求 DHCPv6场景.pdf》由会员分享，可在线阅读，更多相关《YD T 3996-2021 以太网接入方式下源地址验证技术要求 DHCPv6场景.pdf（45页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 以太网接入方式下源地址验证技术要求 DHCPv6 场景 Technical requirements of ethernet source address validation improvement for DHCPv6 （报批稿） -发布 - 实施 中华人民共和国工业和信息化部 发布 YD/T i 目 次 前 言 . IV 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 2 3.1 术语和定义 . 2 3.2 缩略语 . 6 4 概述 . 7 5 部署场景和配

2、置 . 8 5.1 元素和场景 . 8 5.2 SAVI 绑定类型属性 . 9 5.2.1 信任属性 . 9 5.2.2 DHCP 信任属性 . 10 5.2.3 DHCP-Snooping 属性 . 10 5.2.4 Data-Snooping 属性 . 10 5.2.5 验证属性 . 11 5.2.6 属性互斥情况 . 11 5.3 范围. 12 5.3.1 SAVI-DHCP 范围概述 . 12 5.3.2 SAVI-DHCP 范围配置指南 . 12 5.3.3 关于 DHCP 服务器和中继的位置 . 13 5.3.4 可选部署方案 . 14 5.3.5 关于绑定锚的考虑 . 14 5.

3、4 设备的其他配置 . 15 6 绑定状态表（BST）. 15 7 DHCP-SNOOPING 过程 . 16 7.1 基本原理 . 16 7.2 绑定状态描述 . 17 7.3 事件. 17 7.3.1 计时器超时事件 . 17 7.3.2 DHCP 控制报文到达事件 . 17 7.4 DHCP-SNOOPING 过程的状态机 . 19 YD/T ii 7.4.1 当前状态为：NO_BIND 未绑定 . 19 7.4.2 当前状态为：INIT_BIND 初始绑定 . 20 7.4.3 当前状态为：BOUND已绑定 . 23 7.4.4 状态机表 . 25 8 DATA-SNOOPING 过程

4、 . 27 8.1 场景. 27 8.2 基本原理 . 27 8.3 其他的绑定状态描述 . 28 8.5 消息发送者的功能 . 30 8.5.1 重复检测消息发送者 . 30 8.5.2 LeaseQuery 消息发送者 . 30 8.5.3 地址验证消息发送者 . 31 8.6 当前状态为：NO_BIND . 31 8.6.1 事件：EVE_DATA_UNMATCH：收到一个没有匹配绑定表的数据包 . 31 8.6.2 Data-Snooping 过程中在 NO_BIND 状态下未处理的事件 . 32 8.7 当前状态为：DETECTION . 32 8.7.1 事件：EVE_ENTRY_

5、EXPIRE . 32 8.7.2 事件：EVE_DATA_CONFLICT：收到来自非目标系统的 ARP Reply/NA 消息 . 33 8.7.3 在 DETECTION 状态下忽略的事件 . 33 8.8 当前状态为：RECOVERY . 33 8.8.1 事件：EVE_DATA_LEASEQUERY，收到成功的 LEASEQUERY-REPLY 消息 . 33 8.8.2 事件：EVE_ENTRY_EXPIRE 事件 . 34 8.8.3 在恢复过程中忽略的事件 . 34 8.9 当前状态为：VERIFY . 35 8.9.1 事件：EVE_DATA_LEASEQUERY 事件：收到

6、一个有效的 DHCPLEASEACTIVE 事件或成功的 LEASEQUERY-REPLY 事件 . 35 8.9.2 事件：EVE_DATA_VERIFY 事件：从绑定锚连接的设备收到一个有效的 ARP 应答或 NA 消息 . 35 8.9.3 事件：EVE_ENTRY_EXPIRE 事件 . 35 8.9.4 事件：EVE_DATA_EXPIRE 事件 . 35 8.9.5 在验证过程中忽略的事件 . 36 8.10 当前状态为：BOUND. 36 8.11 状态机表 . 36 9 过滤定义 . 38 9.1 数据包过滤 . 38 9.2 控制报文过滤 . 38 YD/T iii 10 状

7、态恢复 . 39 10.1 属性配置的恢复 . 39 10.2 绑定状态的恢复 . 39 11 常量定义 . 40 YD/T iv 前 言 本标准是 以太 网接入 方 式下源地 址验证 技术要 求 系列标 准之一 ，本系 列 标准的名 称和结 构 预计如下 ： IP 源地址 验证技 术 要求框架 以太 网接入 方式下 源地址验 证技术 要求 框架 以太 网接入 方式下 源地址验 证技术 要求 DHCPv4 场景 以太 网接入 方式下 源地址验 证技术 要求 DHCPv6 场景 以太 网接入 方式下 源地址验 证技术 要求 SLAAC 场景 以太网接 入方式 下源地 址验证技 术要求 多种地 址

8、分配方 式共存 场景 公众无线 局域网 接入方 式下源地 址验证 技术要 求 以太 网接入 方式下 源地址验 证技术 要求 管 理信息库 本 标准按照 GB/T 1.1-2009 给出的 规则起 草。 请注意本 文件的 某些内 容 可能涉及 专利。 本文件 的 发布机构 不承担 识别这 些 专利的责 任。 本标准由 中国通 信标准 化 协会提出 并归口 。 本标准 参加 单位： 清华 大 学、 中 国互 联网络 信息 中 心、 华 为技 术有限 公司 、 新华三 技术 有限 公司 、 中国电 信集 团公 司 。 本标准 主要 起草 人： 毕军 、吴建 平、 姚广 、胡 虹雨 、李丹 （女 ）

9、、 刘莹 、徐 明伟、 李风 华、 王旸 旸、何 林 。 YD/T 1 以 太 网 接 入 方 式下 源 地 址 验 证 技术 要 求 DHCPv6 场景 1 范围 本标准 规定 了以 太网 接入 方式下DHCPv6 场 景的 源地 址验证 技术 要求 ， 主 要包 括 ：DHCPv6 控制 报文 监 听建立 绑定 表 过 程及 其状 态机 、 数据 报文 触发 建立 绑定表 过程 及其 状态 机 、 数据包/控制 报 文过 滤过程、 状态恢 复过程 等 。 本标准 适用 于 以 太网 接入 方式 下 DHCPv6 场景 的源 地 址验证 。 2 规范性引用文件 下列文 件对 于本 文件 的应

10、 用是必 不可 少的 。 凡 是注 日期的 引用 文件 ， 仅 所注 日期的 版本 适用 于本 文 件。凡 是不 注日 期的 引用 文件， 其最 新版 本（ 包括 所有的 修改 单） 适用 于本 文件。 IETF RFC2131 动态主 机配 置协 议 （Dynamic Host Configuration Protocol ，DHCP ） IETF RFC2827 网络入 口过 滤协议 （Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing

11、） IETF RFC3315 IPv6 动 态主 机配 置协 议 （Dynamic Host Configuration Protocol for IPv6 （DHCPv6 ） ） IETF RFC3736 IPv6 无状 态动 态主 机配 置 协议 （Stateless Dynamic Host Configuration Protocol （DHCP ） Service for IPv6 ） IETF RFC4388 DHCP 租 期查 询协 议 （ Dynamic Host Configuration Protocol （ DHCP ） Leasequery ） ITTF RFC4861

12、 IPv6 邻 居发 现协 议 （Neighbor Discovery for IP version 6 （IPv6 ） IETF RFC5007 DHCPv6 租期 查询 协议 （DHCPv6 Leasequery ） IETF RFC6620 本地 IPv6 地址的先到先 服务源 地址 验证 改进 方法 （ FCFS SAVI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses ） YD/T 2 IETF RFC7039 源地址 验证 改进 框

13、 架 （ Source Address Validation Improvement （ SAVI ） Framework ） IETF RFC7341 通过 DHCPv6 传送 DHCPv4 消息 （DHCPv4-over-DHCPv6 (DHCP 4o6) Transport ） 3 术语、定义和缩略语 3.1 术语和定义 下列术 语和 定义 适用 于 本 文件。 3.1.1 源地址验证 source address validation 在IP报 文路 由寻 址过 程中 ，对其 携带 的源 地址 的有 效性进 行验 证。 3.1.2 接入网源地址验证/源地址验证增强 source add

14、ress validation improvement 在主机 所在 接入 网 执 行的 源地址 验证 技术 ， 将 不允 许主机 假冒 任意 非合 法分 配或配 置的 地址 。 是源 地址验 证的 第一 步关 卡， 因此谓 之源 地址 验证 增强 。 3.1.3 绑定表 bindings 监听地 址分 配过 程， 形成 的 合法IP地 址与 对应 绑定 锚的组 合信 息 。 3.1.4 绑定锚 binding anchor 定义为 所连 设备 的物 理层 或链路 层 属 性， 如RFC7039 。该 文件 第 3.2 节中 给 出了绑 定锚 的示 例列 表。绑 定锚 应尽 可能 地 将 IP

15、 地址 与标识 某一 单 客户 端 系统 或其 某一 接口 的、 无法 被 假冒 的属性 关 联起 来。详 见 第 5.3.5 节。 3.1.5 属性 attribute YD/T 3 每个绑 定锚 （ 端口 、MAC 地址或 其他 信息 ） 的可 配 置属性， 该属 性表 示了 对 来自相 应属 性所 连网 络设备 的 数 据包 应执 行的 操作。 3.1.6 DHCP地址 DHCP address 通过 DHCP 协 议分 配的 地 址。 3.1.7 SAVI设备 SAVI device 具有并 开启 了SAVI-DHCP 功能的 网络 设备 。 3.1.8 非SAVI设备 non-SAV

16、I device 不具备SAVI-DHCP 功 能的 网络 设 备。 3.1.9 DHCP 客户端-服务器消息 DHCP client-to-server message 从DHCP 客户 端到DHCP 服 务器的 消息 。并 是以 下类 型之一 ： DHCPv6 Request ：REQUEST RFC3315 。 DHCPv6 Solicit ：SOLICIT RFC3315 。 DHCPv6 Confirm ：CONFIRM RFC3315 。 DHCPv6 Decline ：DECLINE RFC3315 。 DHCPv6 Release ：RELEASE RFC3315 。 DHCP

17、v6 Rebind ：REBIND RFC3315 。 DHCPv6 Renew ：RENEW RFC3315 。 DHCPv6 Information-Request ：INFORMATION-REQUEST RFC3315 。 DHCPv6 LEASEQUERY ： 用于查 询 一 IPv6 地址 的可 能存在 的租 期的 消息RFC5007 。 3.1.10 YD/T 4 DHCP服务器-客户端消息 DHCP Server-to-Client message 从DHCP 服务 器到DHCP 客 户端的 消息 。并 是以 下类 型之一 ： DHCPv6 Reply ：REPLY RFC33

18、15 。 DHCPv6 Advertise ：ADVERTISE RFC3315 。 DHCPv6 Reconfigure ：RECONFIGURE RFC3315 。 DHCPv6 LEASEQUERY-REPLY ：对 LEASEQUERY 消息的 响应RFC5007 。 3.1.11 租期时间 lease time IPv4地 址的 租期 时间 或IPv6地址 的有 效生 存时 间。 3.1.12 绑定表项 binding entry 关联IP 地址 和绑 定锚 的一 个规则 。 3.1.13 绑定状态表 binding state table 包含绑 定表 项的 表。 3.1.14 绑

19、定表项限制 binding entry limit 一个绑 定锚 所能 关联 的最 多的绑 定表 项的 数目 。 3.1.15 直接相连 direct attachment SAVI 设 备是 主机 直接 相连 的接入 设备 。该 种情 况， 主机直 接接 入SAVI 设 备上 。 3.1.16 间接相连 Indirect attachment YD/T 5 SAVI 设 备可 能是 其他 接入 设备连 接的 汇聚 设备 ， 主 机 最终与 其相 连。 该种 情况， 主机间 接接 入SAVI 设备上 。 3.1.17 非保护链路 unprotected link 连接了 这样 的主 机或 网络

20、 主机的 链路 ， 这些 主机 通 过其他 路径 接收DHCP 流量 ， 因 此这 些主 机及 链 路在SAVI 的 保护 范围 之外 。 3.1.18 非保护设备 unprotected device 连接了 非保 护链 路的 设备 。例如 ，一 个网 络的 网关 路由器 。 3.1.19 受保护链路 protected link 如果接 入设 备总 是通 过一 条给定 链路 接收DHCP 消息 ，则该 链路 被SAVI 设 备认 为是“ 受保 护的 ”， 因此该 链路 也就 在SAVI 的 保护范 围之 内。 3.1.20 受保护设备 protected device 连接了 受保 护链 路的 设备 。例如 ，网 络中 的一 台桌 式交换 机或 主机 。 3.1.21 割点 cut vertex 图（网 络） 中的 这样 一个 顶点， 删除 它将 增加 图（ 网络） 中的 联通 块的 数量 。这是 图论 中的 概念 。 该术语 在第7.1 节中 用于 描 述当仅 运行DHCP Snooping 时SAVI 设 备部 署位 置的 要求。 3.1.22 标识集合 identity association 分配给 某客 户端 的地 址集RFC3315 。 3