Validieren Globaler Ipv6-Adressen; Aufbauen Von Nachbarbindungen - Cisco SG300-10 Administratorhandbuch

Sicherheit: IPv6-Sicherheit des ersten Hops
Integrität der Nachbarbindung

Validieren globaler IPv6-Adressen

Die NB-Integrität führt die folgenden Validierungen aus:
• Wenn es sich bei der Zieladresse in einer NS- oder NA-Nachricht um eine globale IPv6-Adresse
handelt, muss sie zu einem der Präfixe gehören, die in der RA-Präfixtabelle definiert wurden.
• Eine globale IPv6-Adresse, die durch einen DHCPv6-Server bereitgestellt wird, muss zu einem der
Präfixe gehören, die in der IPv6-Präfix-Liste (auf der Seite „IP-Konfiguration > IPv6-Präfix-Liste")
definiert wurden.
Wenn eine Meldung diese Validierung nicht besteht, wird sie gelöscht, und es wird eine
Datenratenbegrenzungs-SYSLOG-Nachricht versendet.
Tabelle zur Nachbarbindung – Overflow
Wenn zur Erstellung eines neuen Eintrags kein Platz mehr vorhanden ist, wird kein Eintrag erstellt und eine
SYSLOG-Nachricht gesendet.

Aufbauen von Nachbarbindungen

Ein Switch der IPv6-Sicherheit des ersten Hops kann Bindungsinformationen auf Basis der folgenden
Methoden ermitteln und erfassen:
• NBI-NDP-Methode: Erlernen von IPv6-Adressen aus den Nachrichten für das Snoop-
Nachbarerkennungsprotokoll
• NBI-DHCP-Methode: Durch das Erlernen von IPv6-Adressen aus den Snoop-DHCPv6-Nachrichten
• Manuelle NBI-Methode: Durch die manuelle Konfiguration
Eine IPv6-Adresse ist an eine Verbindungsschichteigenschaft des Netzwerkanhangs des Hosts gebunden.
Diese Eigenschaft, die als „Bindungsanker" bezeichnet wird, besteht aus der Schnittstellen-ID (ifIndex), über
die der Host verbunden ist, und der MAC-Adresse des Hosts.
Der Switch für die IPv6-Sicherheit des ersten Hops baut Bindungen nur auf perimetrischen Schnittstellen
auf (siehe IPv6-Sicherheit des ersten Hops –
Die Bindungsinformationen werden in der Tabelle zur Nachbarbindung gespeichert.
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
Umkreis).
21
412