Anforderungen an IPv6-ICT-AusrĂĽstung
Seite 4: Anforderungen an Switches
Anforderungen an Layer2-Switches fĂĽr den Bereich Small Office/Home Office (SOHO)
Pflichtanforderungen
- MLDv2 snooping (RFC 4541)
Optionale Anforderungen (Management)
- IPv6 Basic specification (RFC 2460)
- IPv6 Addressing Architecture basic (RFC 4291)
- Default Address Selection (RFC 3484)
- ICMPv6 (RFC 4443)
- SLAAC (RFC 4862)
- SNMP protocol (RFC 3411)
- SNMP capabilities (RFC 3412, RFC 3413, RFC 3414)
Anforderungen fĂĽr Enterprise/ISP Layer 2 Switches
Pflichtanforderungen
- MLDv2 snooping (RFC 4541)
- DHCPv6 snooping (RFC 3315)
DHCPv6 Pakete mĂĽssen verworfen werden, wenn diese zwischen Client /Host Systemen ausgetauscht werden sollen. So wird verhindert, dass ein falscher DHCPv6-Server Informationen ins Netzwerk geben kann. - Router Advertisement (RA) filtering (RFC 4862, RFC 5006)
Nur Router dĂĽrfen RA schicken. Daher mĂĽssen auf Client-Ports eines Switches eingehende RA verworfen werden. - Dynamic "IPv6 neighbour solicitation/advertisement" inspection (RFC 4861)
Es muss eine ĂśberprĂĽfung der IPv6 Neighbour Solicitation/Advertisements geben, vergleichbar mit der IPv4 "Dynamic ARP Inspection". Die Tabelle mit den MAC-Adressen muss dynamisch aus SLAAC- oder DHCPv6-Meldungen generiert werden. - Neighbour Unreachability Detection (NUD, RFC 4861) filtering
NUD-Meldungen müssen gefiltert werden können, um gefälschte NUD-Meldungen zu verwerfen. - Duplicate Address Detection (DAD, RFC 4429) snooping and filtering
Nur autorisierte Adressen dĂĽrfen als IPv6 Source Adresse in DAD-Meldungen von einzelnen Ports verwendet werden.
Optionale Anforderungen (Management)
- IPv6 Basic specification (RFC 2460)
- IPv6 Addressing Architecture basic (RFC 4291)
- Default Address Selection (RFC 3484)
- ICMPv6 (RFC 4443)
- SLAAC (RFC 4862)
- SNMP protocol (RFC 3411)
- SNMP capabilities (RFC 3412, RFC 3413, RFC 3414)
- IPv6 Routing Header (RFC 2460, Next Header value 43) snooping
Pakete mit IPv6 Routing Headern (Typ 0) dĂĽrfen nicht zwischen Ports von Endhosts und zwischen Endhost und Uplinks erlaubt sein, um Routing Loops zu verhindern. Siehe RFC 5095, Deprecation of Type 0 Routing Headers in IPv6. - UPnP filtering
UPnP-Meldungen zwischen Endhosts mĂĽssen gefiltert werden. Eventuell kann auf Ethertype 0x86dd gefiltert werden. Wahrscheinlich mĂĽssten dann fĂĽr IPv4 Ethertypes 0x800 und 0x806 freigegeben werden.
