1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 以太网接入方式下源地址验证技术要求 DHCPv4 场景 Technical requirements of ethernet source address validation improvement for DHCPv4 (报批稿) -发布 - 实施 中华人民共和国工业和信息化部 发布 YD/T i 目 次 前 言 . IV 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 2 3.1 术语和定义 . 2 3.2 缩略语. 6 4 概述 . 7 5 部署场景和配置
2、 . 8 5.1 元素和场景 . 8 5.2 SAVI 绑定类型属性 . 10 5.2.1 信任属性 . 10 5.2.2 DHCP 信任属性 . 10 5.2.3 DHCP-Snooping 属性 . 10 5.2.4 Data-Snooping 属性 . 11 5.2.5 验证属性 . 11 5.2.6 属性互斥情况 . 12 5.3 范围. 12 5.3.1 SAVI-DHCP 范围概述 . 12 5.3.2 SAVI-DHCP 范围配置指南 . 13 5.3.3 关于 DHCP 服务器和中继的位置 . 13 5.3.4 可选部署方案 . 14 5.3.5 关于绑定锚的考虑 . 15 5
3、.4 设备的其他配置 . 15 6 绑定状态表(BST) . 15 7 DHCP-SNOOPING 过程 . 16 7.1 基本原理 . 16 7.2 绑定状态描述 . 17 7.3 事件. 17 7.3.1 计时器超时事件 . 17 7.3.2 DHCP 控制报文到达事件 . 17 7.4 DHCP-SNOOPING 过程的状态机 . 19 YD/T ii 7.4.1 当前状态为:NO_BIND 未绑定 . 19 7.4.2 当前状态为:INIT_BIND 初始绑定 . 20 7.4.3 当前状态为:BOUND 已绑定 . 21 7.4.4 状态机表 . 23 8 DATA-SNOOPING
4、 过程 . 24 8.1 场景. 24 8.2 基本原理 . 25 8.3 其他的绑定状态描述 . 26 8.4 事件. 26 8.5 发送消息的功能 . 27 8.5.1 发送重复检测消息 . 27 8.5.2 发送 LeaseQuery 消息 . 28 8.5.3 发送地址验证消息 . 28 8.6 当前状态为:NO_BIND . 28 8.6.1 事件:EVE_DATA_UNMATCH:收到一个没有匹配绑定表的数据包 . 29 8.6.2 Data-Snooping 过程中在 NO_BIND 状态下未处理的事件 . 29 8.7 当前状态为:DETECTION . 30 8.7.1 事件
5、:EVE_ENTRY_EXPIRE . 30 8.7.2 事件:EVE_DATA_CONFLICT:收到来自非目标系统的 ARP Reply/NA 消息 . 31 8.7.3 在 DETECTION 状态下忽略的事件 . 31 8.8 当前状态为:RECOVERY . 31 8.8.1 事件:EVE_DATA_LEASEQUERY,收到有效的 DHCPLEASEACTIVE 消息 . 31 8.8.2 事件:EVE_ENTRY_EXPIRE 事件 . 31 8.8.3 在恢复过程中忽略的事件 . 32 8.9 当前状态为:VERIFY . 32 8.9.1 事件:EVE_DATA_LEASEQ
6、UERY 事件:收到一个有效的 DHCPLEASEACTIVE 事件或成功的 LEASEQUERY-REPLY 事件 . 32 8.9.2 事件:EVE_DATA_VERIFY 事件:从绑定锚连接的设备收到一个有效的 ARP 应答或 NA 消息 . 32 8.9.3 事件:EVE_ENTRY_EXPIRE 事件 . 33 8.9.4 事件:EVE_DATA_EXPIRE 事件 . 33 8.9.5 在验证过程中忽略的事件 . 33 8.10 当前状态为:BOUND. 34 8.11 状态机表 . 34 9 过滤定义 . 35 9.1 数据包过滤 . 35 YD/T iii 9.2 控制报文过滤
7、 . 36 10 状态恢复 . 37 10.1 属性配置的恢复 . 37 10.2 绑定状态的恢复 . 37 11 常量定义 . 37 YD/T iv 前 言 本标准是 以太 网接入 方 式下源地 址验证 技术要 求 系列标 准之一 ,本系 列 标准的名 称和结 构 预计如下 : -IP 源地址验证技 术要求框 架 - 以太网接入 方式 下源地址 验证技 术要求 框架 - 以太网接入 方式 下源地址 验证技 术要求 DHCPv4 场景 - 以太网接入 方式 下源地址 验证技 术要求 DHCPv6 场景 - 以太网接入 方式 下源地址 验证技 术要求 SLAAC 场景 - 以太网接入方式 下源
8、地址验证 技术要 求 多种 地址分配 方式共 存场景 - 公众无线局域网 接入 方式下源 地址验 证技术 要 求 - 以太网接入 方式 下源地址 验证技 术要求 管理信息 库 本 标准按照 GB/T 1.1-2009 给出的 规则起 草。 请注意本 文件的 某些内 容 可能涉及 专利。 本文件 的 发布机构 不承担 识别这 些 专利的责 任。 本标准由 中国通 信标准 化 协会提出 并归口 。 本标准 参加 单位: 清华 大 学 、 中 国互 联网络 信息 中 心、 华 为技 术有限 公司 、 新华三 技术 有限 公司 。 本标准 主要 起草 人: 毕军 、 吴建 平、 姚广 、胡 虹雨 、李
9、丹 (女 )、 李星 、刘 莹、徐 恪、 徐明 伟、 崔勇、 王旸 旸等 。 YD/T 1 以 太 网 接 入 方 式下 源 地 址 验 证 技术 要 求 DHCPv4 场景 1 范围 本标准 规定 了以 太网 接入 方式下DHCPv4 场 景的 源地 址验证 技术 要求 , 主 要包 括 :DHCPv4 控制 报文 监 听建立 绑定 表过 程及 其状 态机、 数据 报文 触发 建立 绑定表 过程 及其 状态 机、 数据包/控制 报 文过 滤过程、 状态恢 复过程 等 。 本标准 适用 于 以 太网 接入 方式 下 DHCPv4 场景 的源 地 址验证 。 2 规范性引用文件 下列文 件对 于
10、本 文件 的应 用是必 不可 少的 。 凡 是注 日期的 引用 文件 , 仅 所注 日期的 版本 适用 于本 文 件。凡 是不 注日 期的 引用 文件, 其最 新版 本( 包括 所有的 修改 单) 适用 于本 文件。 IETF RFC 826 以太 网 ARP 协议 (Ethernet Address Resolution Protocol :Or Converting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware ) IETF RFC2131 动态主 机配
11、 置协 议 (Dynamic Host Configuration Protocol ,DHCP ) IETF RFC2827 网络入 口过 滤协议 (Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing ) IETF RFC3315 IPv6 动 态主 机配 置协 议 ( Dynamic Host Configuration Protocol for IPv6 , DHCPv6 ) IETF RFC3736 IPv6 无状态动态主机配置 协议
12、 ( Stateless Dynamic Host Configuration Protocol (DHCP ) Service for IPv6 ) IETF RFC4388 DHCP 租 期查 询协 议 ( Dynamic Host Configuration Protocol ( DHCP ) Leasequery ) ITTF RFC4861 IPv6 邻 居发 现协 议 (Neighbor Discovery for IP version 6 (IPv6 ) ) YD/T 2 IETF RFC5007 DHCPv6 租期 查询 协议 (DHCPv6 Leasequery ) IETF
13、 RFC5227 IPv4 地 址冲 突发 现协议 (IPv4 Address Conflict Detection ) IETF RFC6620 本地 IPv6 地 址的 先到 先服 务源地 址验 证改 进方 法 (FCFS SAVI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses ) IETF RFC7039 源地址 验证 改进 框架 (Source Address Validation Improvement (SAVI ) Framew
14、ork ) IETF RFC7341 通过 DHCPv6 传送 DHCPv4 消息 (DHCPv4-over-DHCPv6 (DHCP 4o6) Transport ) 3 术语、定义和缩略语 3.1 术语和定义 下列术 语和 定义 适用 于本 文件。 3.1.1 源地址验证 source address validation 在IP 报 文路 由寻 址过 程中 ,对其 携带 的源 地址 的有 效性进 行验 证。 3.1.2 接入网源地址验证/源地址验证增强 source address validation improvement 在主机 所在 接入 网执 行的 源地址 验证 技术 , 将
15、不允 许主机 假冒 任意 非合 法分 配或配 置 的 地址 。 是 源 地址验 证的 第一 步关 卡, 因此谓 之源 地址 验证 增强 。 3.1.3 绑定表 bindings 监听地 址分 配过 程, 形成 的 合法IP 地 址与 对应 绑定 锚的组 合信 息 。 3.1.4 绑定锚 binding anchor YD/T 3 所连 设 备的 物理 层或 链路 层 属性 ,如RFC7039 。 该 文件 第 3.2 节中 给出 了绑 定锚 的 示例 列表 。绑 定锚 应 尽可 能地 将 IP 地址 与标识 某一 单客 户 端 系统 或其 某 一接 口 的 、无法 被 假冒 的 属性 关联 起
16、来 。详 见第 5.3.5 节。 3.1.5 属性 attribute 每个绑 定锚 ( 端口、MAC 地址或 其他 信息 ) 的可 配 置属性, 该 属 性表 示了 对 来自相 应属 性 所 连网 络设备 的 数 据包 应执 行的 操作。 3.1.6 DHCP地址 DHCP address 通过 DHCP 协 议分 配的 地 址。 3.1.7 SAVI设备 SAVI device 具有并 开启 了SAVI-DHCP 功能的 网络 设备 。 3.1.8 非SAVI设备 non-SAVI device 不具备SAVI-DHCP 功 能的 网络设 备。 3.1.9 DHCP 客户端-服务器消息 D
17、HCP client-to-server message 从DHCP 客户 端到DHCP 服 务器的 消息 。 注:并是以下类型之一: DHCPv4 Discover:DHCPDISCOVER RFC2131。 DHCPv4 Request:DHCPREQUEST 产生于 SELECTING 状态RFC2131。 DHCPv4 Renew:DHCPREQUEST 产生于 RENEWING 状态RFC2131。 DHCPv4 Rebind:DHCPREQUEST 产生于 REBINDING 状态RFC2131。 YD/T 4 DHCPv4 Reboot:DHCPREQUEST 产生于 INIT-
18、REBOOT 状态RFC2131。 (提示:DHCPv4 Request/Renew/Rebind/Reboot 消息在RFC2131表4 中有列出。) DHCPv4 Decline:DHCPDECLINE RFC2131。 DHCPv4 Release:DHCPRELEASE RFC2131。 DHCPv4 Inform:DHCPINFORM RFC2131。 3.1.10 DHCP服务器-客户端消息 DHCP server-to-client message 从DHCP 服务 器到DHCP 客 户端的 消息 。 注:并是以下类型之一: DHCPv4 ACK:DHCPACK RFC2131。
19、 DHCPv4 NAK:DHCPNAK RFC2131。 DHCPv4 Offer:DHCPOFFER RFC2131。 DHCPv4 DHCPLEASEACTIVE:对DHCPLEASEQUERY 消息的响应,要求包含租期信息RFC4388。 DHCPv4 DHCPLEASEUNKNOWN:对 DHCPLEASEQUERY 消息的响应,要求表明服务器不管理该地址RFC4388。 DHCPv4 DHCPLEASEUNASSIGNED:对 DHCPLEASEQUERY 消息的响应,要求表明服务器管理该地址但现在没有租期 信息RFC4388。 3.1.11 租期时间 lease time IPv4
20、地 址的 租期 时间 或IPv6地址 的有 效生 存时 间。 3.1.12 绑定表项 binding entry 关联IP 地址 和绑 定锚 的一 个规则 。 3.1.13 绑定状态表 binding state table YD/T 5 包含绑 定表 项的 表。 3.1.14 绑定表项限制 binding entry limit 绑定锚 所能 关联 的最 多的 绑定表 项的 数目 。 3.1.15 直接相连 direct attachment SAVI 设 备是 主机 直接 相连 的接入 设备 。该 种情 况, 主机直 接接 入SAVI 设 备上 。 3.1.16 间接相连 indirect attachment SAVI 设 备可 能是 其他 接入 设备连 接的 汇聚 设备 , 主 机 最终与 其
