Cisco SG300-10 Administratorhandbuch Seite 414

Sicherheit: IPv6-Sicherheit des ersten Hops
Integrität der Nachbarbindung
NBI-NDP-Methode
Die verwendete NBI-NDP-Methode basiert auf der unter RFC6620 angegebenen FCFS-SAVI-Methode,
jedoch mit den folgenden Abweichungen:
• Im Gegensatz zu FCFS-SAVI, das ausschließlich Bindungen für lokale IPv6-Adressen bietet,
unterstützt NBI-NDP darüber hinaus Bindungen von globalen IPv6-Adressen.
• NBI-NDP unterstützt IPv6-Adressbindungen nur bei IPv6-Adressen, die aus NDP-Nachrichten erlernt
wurden. Die Quelladressvalidierung für Datennachrichten wird über den IPv6-Quelladress-Guard
bereitgestellt.
• Bei NBI-NDP basiert der Nachweis des Adressbesitzes auf dem Prinzip der Reihenfolge des Eingangs
der Anforderung (First-Come, First-Served). Der erste Host, der eine vorhandene Quelladresse
beansprucht, ist bis auf Weiteres der Besitzer dieser Adresse. Da Änderungen an Hosts nicht
akzeptabel sind, muss ein Weg gefunden werden, um den Adressbesitz zu bestätigen, ohne dass ein
neues Protokoll benötigt wird. Aus diesem Grund bindet der Switch, wenn eine IPv6-Adresse erstmals
von der NDP-Nachricht erlernt wird, die Adresse an die Schnittstelle. Nachfolgende NDP-Nachrichten,
die diese IPV6-Adresse enthalten, können gegen den gleichen Bindungsanker geprüft werden, um zu
bestätigen, dass der Ersteller der Eigentümer der Quell-IP-Adresse ist.
Es gibt eine Ausnahme von dieser Regel, wenn ein IPv6-Host in der Schicht-2-Domäne verwendet
werden kann oder wenn dieser seine MAC-Adresse ändert. In diesem Fall ist der Host weiterhin der
Besitzer der IP-Adresse, der zugewiesene Bindungsanker ist jedoch möglicherweise nicht mehr der
ursprüngliche. Um ein solches Szenario aufzufangen, impliziert das definierte NBI-NDP-Verhalten die
Prüfung, ob der Host weiterhin erreichbar ist. Dazu werden DAD-NS-Nachrichten an die vorherige
Bindungsschnittstelle gesendet. Wenn der Host am zuvor erfassten Bindungsanker nicht mehr
erreichbar ist, geht NBI-NDP davon aus, dass der neue Anker gültig ist und passt den Bindungsanker
entsprechend an. Sollte der Host nach wie vor über den zuvor erfassten Bindungsanker erreichbar
sein, wird die Bindungsschnittstelle nicht geändert.
Um die Größe der Tabelle zur Nachbarbindung zu reduzieren, baut NBI-NDP Bindungen ausschließlich auf
Schnittstellen auf, die zum Umkreis gehören (siehe
verteilt die Bindungsinformationen mit NS- und NA-Nachrichten über interne Schnittstellen. Vor der
Erstellung einer lokalen NBI-NDP-Bindung sendet das Gerät eine DAD-NS-Nachricht, um die betroffene
Adresse abzufragen. Wenn ein Host mit einer NA-Nachricht auf diese Nachricht antwortet, geht das Gerät,
dass die DAD-NS-Nachricht gesendet hat, davon aus, dass eine Bindung für diese Adresse in einem
anderen Gerät existiert und erstellt daher keine lokale Bindung für diese Adresse. Ist keine NA-Nachricht als
Antwort auf die DAD-NS-Nachricht eingegangen, geht das lokale Gerät davon aus, dass keine Bindung für
diese Adresse auf anderen Geräten existiert und erstellt daher die lokale Bindung für diese Adresse.
NBI-NDP unterstützt einen Timer für die gesamte Lebensdauer. Die Werte des Timers können auf der Seite
„Bindungseinstellungen der Nachbarn" konfiguriert werden. Der Timer wird immer dann neu gestartet,
wenn die eingehende IPv6-Adresse bestätigt wird. Wenn der Timer abläuft, sendet das Gerät zur Prüfung
des Nachbarn bis zu zwei DAD-NS-Nachrichten innerhalb kurzer Intervalle.
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
IPv6-Sicherheit des ersten Hops –
21
Umkreis), und
413