跳到主要内容

5. Security Considerations

本文档规定 DHCP 4o6 在一种场景中的适用性: legacy IPv4 clients 连接到执行封装和解封装的 DHCP 4o6 Relay Agents. 本文档不改变 DHCP 4o6 specification [RFC7341] 中的其他内容; 因此, 该文档的安全考虑仍然适用. 具体而言, 由于 legacy IPv4 client 并不知道封装和解封装过程, 4o6RA 必须提供 [RFC7341] 第 12 节安全考虑中规定的保护.

这里定义的机制与 [RFC7341] 不同, 因为它们允许 DHCP client 发送和接收 DHCPv4 messages, 而在 [RFC7341] 中, client 只发送 DHCPv6 messages. 这使得在配置不当的网络中可能出现如下情况: client 与某个 DHCPv4 server 位于同一 Layer 2 scope, 因而 DHCPv4 messages 可能不经由 4o6RA 就到达 DHCPv4 server. 虽然这可能导致 clients 和 servers 中出现错误状态, 甚至可能导致影响可达性的错误配置, 但这被视为部署错误, 而不是安全问题. 此外, 即使该机制可能被用于来自网络内部的攻击, 这也不是本规范引入的新问题.

更一般地说, legacy IPv4 clients 并不知道该机制; 但是, 即便使用 DHCP 4o6, client 也无法控制 Relay Agent 提供的信息. 因此, 这一变化不会带来额外的安全问题.