savi技术在ipv6校园网中的研究与实现

《savi技术在ipv6校园网中的研究与实现》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、山西电子技术2013年第6期网络技术文章编号：1674—4578(2013)06．0060．03SAVI技术在IPv6校园网中的研究与实现贺静(太原理工大学信息化管理与建设中心，山西太原030024)摘要：在IPv6校园试验网的接入使用中，如何判定接入用户1Pv6地址的合法性与有效性是目前一个比较突出的问题。针对此问题，在基于SAVI技术的基础上，研究与实现了IPv6校园网的源地址验证。从源头上保证了IPv6接入网的安全性。关键词：IPv6；校园网；SAVI中图分类号：TP393文献标识码：A随着

2、中国下一代互联网示范工程CNGI规模的不断扩由图1可知，SAVA从整个系统架构到接入节点上解决大，我国高校的IPv6进入了实质性发展阶段，然而安全问题了源地址认证问题。IPv6源地址验证体系很好地适应了现也日益凸显。IPv6较I1％4，虽然在协议安全性上有了提高，有网络的分层结构，并支持IPv6源地址验证机制部署在网但它仍存在安全问题，仍没有解决源地址欺骗带来的安全问络不同层次与位置上。题。基于源地址欺骗的网络攻击，尤其是拒绝服务攻击仍是2SAVI技术研究IPv6网络的主要安全威胁之一⋯。下一代互

3、联网发展面临的一个挑战性问题即为IPv6源本文针对IPv6校园网，主要讨论的是接入网IPv6源地地址验证。国内外研究机构开展了真实IPv6源地址验证技址验证方案。而接入网真实IPv6源地址验证方案目前主要术的研究，很多研究成果已经输出到IETF等国际组织J。清为SAVI机制。SAVI(源地址合法性验证)是IPv6接入网最华大学网络中心于2007年提出了一种真实IPv6源地址验证主要的源地址验证框架，也是目前解决IPv6校园网安全体系结构SAVA(SourceAddressValldationArc

4、hitecture)，并在问题的有效途径之一。SAV1源地址合法性检验草案于2009国际互联网标准化组织互联网工程任务组(IETF)完成一项年由清华大学提出，主要是为了解决11％4与IPv6主机的安RFC标准。本文研究了SAVA中的SAVI(SourceAddress全合法接入问题。SAVI草案中关于IPv6的主机合法接入ValidationImprovements)技术在太原理工大学IPv6校园网中的内容主要包括NDPsnooping与DHCPv6snoping。分别的实现，为构建安全的下一代校

5、园网奠定基础。为：1SAVA技术研究2．1NDPsnooping首先我们要了解一下SAVA，SAVA根据网络结构中位NDPsnooping功能用于交换网络环境中，端口通过侦听置的不同，将源地址验证分为了三种：利用接入网IPv6源地DAD(DuplicateAddressDetection)NS消息来建立NDPsno-址验证机制实现IP地址不同颗粒度的真实IPv5源地址验ping表项，表项内容包括报文的源IPv6地址、源MAC地址证；利用域内IPv6源地址验证机制实现IP地址前缀不同颗与端IXl等信

6、息』。根据CPS(ControlPacketSnooping)原理粒度的真实IPv6源地址验证与利用域间1Pv6源地址验证机在接入设备上建立源IPv6地址、MAC地址与端口的绑定关制实现自治系统AS不同颗粒度的真实IPv6源地址验证。系，由此判断从接人设备的端口上接收到报文的源地址的合并分别匹配接入网、自治系统、自治系统之问三个不同网络法性与有效性。当我们在IPv6校园网中的交换设备上配置层次的源地址验证，如图l所示J。NDPsnooping后，交换设备会对这些报文进行分析，获取报文的源IPv6地

7、址、MAC地址、与端口等信息，并根据这些信息来建立或更新NDPsnoping表项，这样我们就可以通过NDPsnooping表项来判定接人源地址信息的有效性与合法性，防止信息欺骗J。过程如图2所示。、2．2DHCPv6snooping当用户使用DHCPv6方式获取IPv6地址时，可以在接人交换机上独立使用DHCPv6snoping绑定用户，DHCPv6snoopiag通过监听DHCPv6报文，记录其表项，表项包括客户圈1SAVA体系结构端的MAC地址、获取到的IPv6地址、客户端连接的端口及收稿日期

8、：2013—09—09作者简介：贺静(1983．)，女，山西原平人，硕士研究生，讲师，研究方向：网络技术与网络信息安全。