Publicité
25
Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5
Méthode NBI-NDP
La méthode NBI-NDP utilisée est basée sur la méthode FCFS- SAVI spécifiée dans RFC6620,
avec les différences suivantes :
•
À la différence de FCFS-SAVI, qui prend uniquement en charge la liaison pour les
adresses IPv6 de liaison locale, NBI-NDP prend également en charge les adresses IPv6
de liaison globale.
•
NBI-NDP prend en charge la liaison d'adresse IPv6 pour les adresses IPv6 apprises à
partir des messages NDP. La validation d'adresse source pour le message de données
est fournie par la protection d'adresse source IPv6.
•
Avec NBI-NDP, la vérification de la propriété d'adresse est basée sur le principe
Premier arrivé premier servi (First-Come, First-Served). Le premier hôte qui demande
une adresse source donnée est jusqu'à nouvel ordre le propriétaire de cette adresse.
Aucune modification de l'hôte n'étant possible, il faut trouver une solution pour
confirmer la propriété de l'adresse sans avoir recours à un nouveau protocole. Pour
cette raison, lorsqu'une adresse IPv6 est d'abord apprise à partir d'un message NDP, le
commutateur lie l'adresse à l'interface. Les messages NDP suivants qui contiennent
cette adresse IPV6 peuvent être contrôlés par rapport à la même ancre de liaison, afin
de s'assurer que l'initiateur possède l'adresse IP source.
L'exception à cette règle survient lorsqu'un hôte IPv6 se déplace dans le domaine L2
ou change son adresse MAC. Dans ce cas, l'hôte est toujours le propriétaire de
l'adresse IP, mais l'ancre de liaison associée peut avoir changé. Pour faire face à cette
situation, le comportement NBI-NDP défini implique de vérifier si l'hôte est toujours
accessible en envoyant des messages DAD-NS à l'interface de liaison précédente. Si
l'hôte n'est plus accessible via l'ancre de liaison précédemment enregistrée, NBI-NDP
part du principe que la nouvelle ancre est valide et change l'ancre de liaison. Si l'hôte
est encore accessible via l'ancre de liaison précédemment enregistrée, l'interface de
liaison n'est pas changée.
Pour réduire la taille de la table de liaisons de voisins, NBI-NDP établit la liaison uniquement
sur les interfaces périmétriques (voir
distribue les informations de liaison dans les interfaces internes via les messages NS et NA.
Avant de créer une liaison locale NBI-NDP, le périphérique envoie un message DAD-NS pour
obtenir l'adresse impliquée. Si un hôte répond à ce message par un message NA, le
périphérique qui a envoyé le message DAD-NS en conclut qu'il existe une liaison pour cette
adresse sur un autre périphérique et ne crée pas de liaison locale pour celui-ci. Si aucun
message NA n'est reçu en tant que réponse au message DAD-NS, le périphérique local en
conclut qu'il n'existe aucune liaison pour cette adresse sur les autres périphériques et crée la
liaison locale pour cette adresse.
Sécurité : Sécurité du premier saut IPv6
Périmètre de la Sécurité du premier saut
Intégrité de la liaison de voisin
IPv6) et
631
Publicité
