- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
20-SAVI配置
本章節下載: 20-SAVI配置 (162.13 KB)
目 錄
SAVI(Source Address Validation,源地址有效性驗證)特性應用在接入設備上,通過ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的綁定關係表,並且以綁定關係為依據對DHCPv6協議報文、ND協議報文和IPv6數據報文的源地址進行合法性的過濾檢查。
SAVI特性可以在下列地址分配場景下使用:
· DHCPv6-Only:和配置SAVI特性的設備連接的主機隻能通過DHCPv6方式獲取地址。
· SLAAC-Only(Stateless Address Autoconfiguration,無狀態地址自動配置):和配置SAVI特性的設備連接的主機隻能通過自動地址分配方式獲取地址。
· DHCPv6與SLAAC混合:和配置SAVI特性的設備連接的主機可以通過DHCPv6方式和自動地址分配方式獲取地址。
不同地址分配場景中的SAVI配置不同,下麵將依次介紹SAVI的全局配置以及不同場景下的SAVI配置。
開啟SAVI功能後,當接入交換機的端口down,該端口下對應用戶的DHCPv6 Snooping和ND Snooping動態綁定表項不會立刻清除,而是等待一段時間後才被清除,這個時間稱為SAVI綁定表項延遲時間,可以通過命令行進行配置。這樣可以防止端口短暫的down/up過程被設備忽略而導致的合法IPv6地址無法正常上網的問題。
表1-1 SAVI的全局配置
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟SAVI功能 |
ipv6 savi strict |
必選 缺省情況下,SAVI功能處於關閉狀態 |
|
配置SAVI綁定表項延遲時間 |
ipv6 savi down-delay time |
可選 缺省情況下,SAVI綁定表項延遲時間為30秒 |
|
配置等待通告地址衝突的NA報文的時間 |
ipv6 savi dad-delay value |
可選 缺省情況下,等待通告地址衝突的NA報文的時間為1秒 ND Snooping表項在detect狀態下,如果超過配置的等待時間沒有收到NA消息,則說明節點可以使用此IPv6地址,此時記錄的ND Snooping表項可以進入bound狀態 |
|
配置等待DHCPv6客戶端對獲取地址作衝突檢測的時間 |
ipv6 savi dad-preparedelay value |
可選 缺省情況下,等待DHCPv6客戶端對獲取地址作衝突檢測的時間為1秒 本命令配合DHCPv6 Snooping功能使用。DHCPv6 Snooping模塊在偵聽到客戶端獲取到地址後,還會偵聽客戶端是否對獲取到的地址作衝突檢測,如果超過配置的等待時間沒有偵聽到客戶端發送的DAD NS報文,則設備會主動替客戶端發送DAD NS報文 |
圖1-1 DHCPv6-Only場景示意圖
在圖1-1所示的DHCPv6-Only場景下,Switch B通過以太網端口GigabitEthernet1/0/1連接到DHCPv6服務器,通過以太網端口GigabitEthernet1/0/2、GigabitEthernet1/0/3連接到主機,GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3都屬於VLAN 2。主機隻能通過DHCPv6方式獲取IPv6地址,不能通過自動地址配置方式獲取IPv6地址。在設備Switch B上配置SAVI特性後,設備Switch B隻允許使用已綁定的DHCPv6方式分配的地址和鏈路本地地址發送的報文通過。
本場景需要在Switch B上進行下列配置:
· 開啟SAVI功能。
· 使能DHCPv6 Snooping功能。DHCPv6 Snooping的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6 Snooping”。
· 使能鏈路本地類型地址的ND Snooping功能。ND Snooping的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
· 為了檢查端口上的ND協議報文,需要在VLAN下使能ND Detection功能。ND Detection的詳細介紹請參見“安全配置指導”中的“ND攻擊防禦”。
· 在連接主機的端口上配置IP Source Guard的IPv6靜態綁定表項(本配置可選,如果不配置,檢查時將不檢查靜態綁定表項)。IPv6靜態綁定表項的詳細介紹請參見“安全配置指導”中的“IP Source Guard”。
· 在連接主機的端口上配置IP Source Guard的IPv6動態綁定功能。IPv6動態綁定功能的詳細介紹請參見“安全配置指導”中的“IP Source Guard”。
接入設備Switch B會對DHCPv6 client發送的DHCPv6協議報文基於鏈路本地類型的ND Snooping表項檢查,對ND協議報文基於鏈路本地類型的ND Snooping表項、DHCPv6 Snooping表項和靜態綁定表項檢查,對連接主機的端口上收到的IPv6數據報文基於下發到端口的動態綁定表項(包括鏈路本地類型的ND Snooping表項、DHCPv6 Snooping表項)和靜態綁定表項檢查。檢查的內容包括MAC地址、IPv6地址、VLAN信息、入端口信息。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 使能IPv6轉發功能。
[SwitchB] ipv6
# 全局使能DHCPv6 Snooping功能。
[SwitchB] ipv6 dhcp snooping enable
# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3
# 在VLAN 2內使能DHCPv6 Snooping功能。
[SwitchB-vlan2] ipv6 dhcp snooping vlan enable
[SwitchB] quit
# 配置GigabitEthernet1/0/1端口為信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 使能本地鏈路類型的ND Snooping功能和ND Detection功能。
[SwitchB] ipv6 nd snooping enable link-local
[SwitchB] vlan 2
[SwitchB-vlan2] ipv6 nd snooping enable
[SwitchB-vlan2] ipv6 nd detection enable
[SwitchB-vlan2] quit
# 下行端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上啟用IP Source Guard的IPv6動態綁定功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 verify source ipv6-address mac-address
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 verify source ipv6-address mac-address
[SwitchB-GigabitEthernet1/0/3] quit
圖1-2 SLAAC-Only場景組網圖
在圖1-2所示的SLAAC-Only場景下,用戶Host A和Host B通過Switch B接入網關Switch A。主機隻能通過自動地址分配方式獲取IPv6地址。在設備Switch B上配置SAVI特性後,設備Switch B隻允許已綁定的無狀態地址自動配置方式分配的地址發送的報文通過,不允許DHCPv6方式分配的地址發送的報文通過。
本場景需要在Switch B上進行下列配置:
· 開啟SAVI功能。
· 使能全球單播類型地址和鏈路本地類型地址的ND Snooping功能。ND Snooping的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
· 為了檢查端口上的ND協議報文,需要在VLAN下使能ND Detection功能。ND Detection的詳細介紹請參見“安全配置指導”中的“ND攻擊防禦”。
· 在連接主機的端口上配置IP Source Guard的IPv6靜態綁定表項(本配置可選,如果不配置,檢查時將不檢查靜態綁定表項)。IPv6靜態綁定表項的詳細介紹請參見“安全配置指導”中的“IP Source Guard”。
· 在連接主機的端口上配置IP Source Guard的IPv6動態綁定功能。IPv6動態綁定功能的詳細介紹請參見“安全配置指導”中的“IP Source Guard”。
· 需要使能DHCPv6 Snooping功能,並且連接Gateway的端口保持默認的非trust狀態,來保證主機不能通過DHCPv6方式獲取到地址。DHCPv6 Snooping的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6 Snooping”。
接入設備Switch B會對ND協議報文基於ND Snooping表項、靜態綁定表項檢查,對連接主機的端口上收到的IPv6數據報文基於下發到端口的動態綁定表項(包括ND Snooping表項)和靜態綁定表項檢查。檢查的內容包括MAC地址、IPv6地址、VLAN信息、入端口信息。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 使能IPv6轉發功能。
[SwitchB] ipv6
# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 10。
[SwitchB] vlan 10
[SwitchB-vlan10] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3
[SwitchB-vlan10] quit
# 使能全球單播類型地址和鏈路本地類型地址的ND Snooping功能。
[SwitchB] ipv6 nd snooping enable link-local
[SwitchB] ipv6 nd snooping enable global
[SwitchB] vlan 10
[SwitchB-vlan10] ipv6 nd snooping enable
# 使能ND Detection功能。
[SwitchB-vlan10] ipv6 nd detection enable
[SwitchB-vlan10] quit
# 使能DHCPv6 Snooping功能來禁止DHCPv6協議報文轉發。
[SwitchB] ipv6 dhcp snooping enable
# 將上行端口GigabitEthernet1/0/3配置為ND信任端口。
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 nd detection trust
[SwitchB-GigabitEthernet1/0/3] quit
# 在下行端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上配置IPv6動態綁定功能。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ipv6 verify source ipv6-address mac-address
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 verify source ipv6-address mac-address
[SwitchB-GigabitEthernet1/0/2] quit
圖1-3 DHCPv6與SLAAC混合場景組網圖
在圖1-3所示的在混合場景下,Switch B通過以太網端口GigabitEthernet1/0/1連接到DHCPv6服務器,通過以太網端口GigabitEthernet1/0/3連接到DHCPv6客戶端。用戶Host A和Host B通過Switch B接入網關Switch A。Switch B上GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5都屬於VLAN 2。主機可以通過DHCPv6方式和自動地址分配方式獲取地址。在設備Switch B上配置SAVI特性後,設備Switch B將允許DHCPv6方式分配的地址和已綁定的無狀態地址自動配置方式分配的地址發送的報文通過。
本場景需要在Switch B上進行下列配置:
· 開啟SAVI功能。
· 使能DHCPv6 Snooping功能。DHCPv6 Snooping的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6 Snooping”。
· 使能全球單播類型地址和鏈路本地類型地址的ND Snooping功能。ND Snooping的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
· 為了檢查端口上的ND協議報文,需要在VLAN下使能ND Detection功能。ND Detection的詳細介紹請參見“安全配置指導”中的“ND攻擊防禦”。
· 在連接主機的端口上配置IP Source Guard的IPv6靜態綁定表項(本配置可選,如果不配置,檢查時將不檢查靜態綁定表項)。IPv6靜態綁定表項的詳細介紹請參見“安全配置指導”中的“IP Source Guard”。
· 在連接主機的端口上配置IP Source Guard的IPv6動態綁定功能。IPv6動態綁定功能的詳細介紹請參見“安全配置指導”中的“IP Source Guard”。
接入設備Switch B會對DHCPv6 client發送的DHCPv6協議報文基於鏈路本地類型的ND Snooping表項檢查,對ND協議報文基於ND Snooping表項、DHCPv6 Snooping表項和靜態綁定表項檢查,對連接主機的端口上收到的IPv6數據報文基於下發到端口的動態綁定表項(包括ND Snooping表項、DHCPv6 Snooping表項)和靜態綁定表項檢查。檢查的內容包括MAC地址、IPv6地址、VLAN信息、入端口信息。
# 開啟SAVI功能。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 使能IPv6轉發功能。
[SwitchB] ipv6
# 使能DHCPv6 Snooping功能。
[SwitchB] ipv6 dhcp snooping enable
# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5加入VLAN 2。
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3 gigabitethernet 1/0/4 gigabitethernet 1/0/5
# 在VLAN 2內使能DHCPv6 Snooping功能。
[SwitchB-vlan2] ipv6 dhcp snooping vlan enable
[SwitchB] quit
# 配置GigabitEthernet1/0/1端口為DHCPv6 Snooping信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 使能ND Snooping功能和ND Detection功能。
[SwitchB] ipv6 nd snooping enable link-local
[SwitchB] ipv6 nd snooping enable global
[SwitchB] vlan 2
[SwitchB-vlan2] ipv6 nd snooping enable
[SwitchB-vlan2] ipv6 nd detection enable
[SwitchB-vlan2] quit
# 配置GigabitEthernet1/0/2端口為ND detection信任端口。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 nd detection trust
[SwitchB-GigabitEthernet1/0/2] quit
# 在下行端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上配置IPv6動態綁定功能。
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 verify source ipv6-address mac-address
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet 1/0/4
[SwitchB-GigabitEthernet1/0/4] ipv6 verify source ipv6-address mac-address
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet 1/0/5
[SwitchB-GigabitEthernet1/0/5] ipv6 verify source ipv6-address mac-address
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
