Cisco 500 Serie Handbuch Seite 524

23
513 Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)
• NBI-NDP unterstützt IPv6-Adressbindungen nur bei IPv6-Adressen, die aus
NDP-Nachrichten erlernt wurden. Die Quelladressvalidierung für
Datennachrichten wird über den IPv6-Quelladress-Guard bereitgestellt.
• Bei NBI-NDP basiert der Nachweis des Adressbesitzes auf dem Prinzip der
Reihenfolge des Eingangs der Anforderung (First-Come, First-Served). Der
erste Host, der eine vorhandene Quelladresse beansprucht, ist bis auf
Weiteres der Besitzer dieser Adresse. Da Änderungen an Hosts nicht
akzeptabel sind, muss ein Weg gefunden werden, um den Adressbesitz zu
bestätigen, ohne dass ein neues Protokoll benötigt wird. Aus diesem Grund
bindet der Switch, wenn eine IPv6-Adresse erstmals von der NDP-
Nachricht erlernt wird, die Adresse an die Schnittstelle. Nachfolgende NDP-
Nachrichten, die diese IPV6-Adresse enthalten, können gegen den gleichen
Bindungsanker geprüft werden, um zu bestätigen, dass der Ersteller der
Eigentümer der Quell-IP-Adresse ist.
Es gibt eine Ausnahme von dieser Regel, wenn ein IPv6-Host in der Schicht-
2-Domäne verwendet werden kann oder wenn dieser seine MAC-Adresse
ändert. In diesem Fall ist der Host weiterhin der Besitzer der IP-Adresse, der
zugewiesene Bindungsanker ist jedoch möglicherweise nicht mehr der
ursprüngliche. Um ein solches Szenario aufzufangen, impliziert das
definierte NBI-NDP-Verhalten die Prüfung, ob der Host weiterhin erreichbar
ist. Dazu werden DAD-NS-Nachrichten an die vorherige
Bindungsschnittstelle gesendet. Wenn der Host am zuvor erfassten
Bindungsanker nicht mehr erreichbar ist, geht NBI-NDP davon aus, dass der
neue Anker gültig ist und passt den Bindungsanker entsprechend an. Sollte
der Host nach wie vor über den zuvor erfassten Bindungsanker erreichbar
sein, wird die Bindungsschnittstelle nicht geändert.
Um die Größe der Tabelle „Nachbarbindung" zu reduzieren, baut NBI-NDP
Bindungen ausschließlich auf perimetrischen Schnittstellen auf (siehe
Sicherheit des ersten Hops –
über interne Schnittstellen unter Verwendung von NS- und NA-Nachrichten. Vor
der Erstellung einer lokalen NBI-NDP-Bindung sendet das Gerät eine DAD-NS-
Nachricht, um die betroffene Adresse abzufragen. Wenn ein Host mit einer NA-
Nachricht auf diese Nachricht antwortet, geht das Gerät, das die DAD-NS-
Nachricht gesendet hat, davon aus, dass eine Bindung für diese Adresse in einem
anderen Gerät existiert und erstellt daher keine lokale Bindung für diese Adresse.
Ist keine NA-Nachricht als Antwort auf die DAD-NS-Nachricht eingegangen, geht
das lokale Gerät davon aus, dass keine Bindung für diese Adresse auf anderen
Geräten existiert, und erstellt daher die lokale Bindung für diese Adresse.
Sicherheit: IPv6-Sicherheit des ersten Hops
Perimeter) und verteilt die Bindungsinformationen
Integrität der Nachbarbindung
IPv6-