- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
21-SAVI配置
本章節下載: 21-SAVI配置 (211.85 KB)
SAVI(Source Address Validation Improvement,源地址有效性驗證)特性用來在接入設備上以ND Snooping、DHCPv6 Snooping及IP Source Guard中IPv6靜態綁定表項為依據對源地址為全球單播類型的IPv6報文進行檢查,避免非法報文通過接入設備進入內部網絡。隻要報文源地址與某綁定表項匹配,則認為該報文為合法報文,正常轉發;否則將該報文丟棄。對於源地址為本地鏈路地址的IPv6報文,設備進行轉發時不作SAVI檢查。
在該場景中,主機與配置了SAVI的設備相連,除了能手工配置地址外,隻能通過DHCPv6方式動態獲取地址。SAVI設備丟棄ND協議報文中所有的RA報文和RR報文,對DHCPv6協議報文、ND協議報文(除了RA報文和RR報文)和IPv6數據報文基於DHCPv6 Snooping表項和手工配置的IPv6靜態綁定表項進行源地址的合法性檢查。
在該場景中,主機與配置了SAVI的設備相連,除了能手工配置地址外,隻能通過SLAAC(Stateless Address Autoconfiguration,無狀態地址自動配置)方式動態獲取地址。SAVI設備丟棄所有的DHCPv6協議報文,對ND協議報文和IPv6數據報文基於ND Snooping表項和手工配置的IPv6靜態綁定表項進行源地址的合法性檢查。
在該場景中,主機與配置了SAVI的設備相連,除了能手工配置地址外,還可以通過DHCPv6和SLAAC兩種方式動態獲取地址。SAVI設備會對DHCPv6協議報文、ND協議報文和IPv6數據報文基於DHCPv6 Snooping表項、ND Snooping表項和手工配置的IPv6靜態綁定表項進行源地址的合法性檢查。
表1-1 SAVI配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
開啟SAVI |
必選 |
|
|
配置IP Source Guard相關參數 |
必選 |
|
|
配置DHCPv6 Snooping基本功能 |
必選 |
|
|
配置ND相關參數 |
必選 |
|
|
配置動態綁定表項的延遲刪除時間 |
可選 |
表1-2 開啟SAVI
|
開啟SAVI功能 |
ipv6 savi strict |
缺省情況下,SAVI功能處於關閉狀態 |
配置步驟:
(1) 開啟IPv6接口綁定功能。
(2) (可選)配置IPv6靜態綁定表項。
IP Source Guard相關參數的具體配置請參見“安全配置指導”中的“IP Source Guard”
注意事項:SLAAC-Only場景下,僅開啟DHCPv6 Snooping功能即可。
配置步驟:
(1) 開啟DHCPv6 Snooping功能。
(2) 配置DHCPv6 Snooping信任端口。
(3) 開啟端口的DHCPv6 Snooping表項記錄功能。
DHCPv6 Snooping基本功能的具體配置請參見“三層技術-IP業務配置指導”中的“DHCPv6 Snooping”。
注意事項:DHCPv6-Only場景下,僅開啟ND Detection功能即可。
配置步驟:
(1) 開啟學習表項地址類型為全球單播地址的ND Snooping表項的功能。
(2) 開啟ND Detection功能。
(3) 配置ND信任端口。
ND Snooping表項的具體配置請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。ND Detection功能及ND信任端口的具體配置請參見“安全配置指導”中的“ND攻擊防禦”。
開啟SAVI功能後,如果端口在down狀態的持續時間超過所配置的延遲刪除時間,係統將會刪除該端口上相關的DHCPv6 Snooping表項和ND Snooping表項。
表1-3 配置動態綁定表項的延遲刪除時間
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置動態綁定表項的延遲刪除時間 |
ipv6 savi down-delay delay-time |
缺省情況下,端口狀態為down後動態綁定表項的延遲刪除時間為30秒 |
如圖1-1所示,在Switch B上配置SAVI,滿足如下用戶需求:
· DHCPv6客戶端隻能通過DHCPv6方式獲取IPv6地址。
· VLAN 2內端口收到的RA報文、RR報文被丟棄。
· 從端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上收到的DHCPv6協議報文、ND協議報文(除RA、RR報文)和IPv6數據報文基於DHCPv6 Snooping綁定表項做源地址的合法性檢查。
圖1-1 配置DHCPv6-Only場景組網圖
# 開啟SAVI功能。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3
[SwitchB-vlan2] quit
[SwitchB] ipv6 dhcp snooping enable
# 配置GigabitEthernet1/0/1端口為DHCPv6 Snooping信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 在端口GigabitEthernet1/0/2和GigabitEthernet1/0/3開啟DHCPv6 Snooping表項記錄功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/3] quit
# 開啟ND Detection功能。
[SwitchB] vlan 2
[SwitchB-vlan2] ipv6 nd detection enable
[SwitchB-vlan2] quit
# 在端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上開啟IPv6接口綁定功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 verify source ip-address mac-address
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 verify source ip-address mac-address
[SwitchB-GigabitEthernet1/0/3] quit
如圖1-2所示,在Switch B上配置SAVI,滿足如下用戶需求:
· 主機隻能通過無狀態地址自動配置方式獲取地址。
· VLAN 2內端口收到的所有DHCPv6協議報文被丟棄。
· 從端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上收到的ND協議報文和IPv6數據報文基於ND Snooping綁定表項做源地址合法性的檢查。
圖1-2 配置SLAAC-Only場景組網圖
# 開啟SAVI功能。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3
[SwitchB-vlan2] quit
# 開啟VLAN 2下的全球單播類型地址的ND Snooping功能和ND Detection功能。
[SwitchB] vlan 2
[SwitchB-vlan2] ipv6 nd snooping enable global
[SwitchB-vlan2] ipv6 nd detection enable
[SwitchB-vlan2] quit
# 開啟DHCPv6 Snooping功能來禁止DHCPv6協議報文轉發。
[SwitchB] ipv6 dhcp snooping enable
# 配置端口GigabitEthernet1/0/3為ND信任端口。
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 nd detection trust
[SwitchB-GigabitEthernet1/0/3] quit
# 在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上開啟IPv6接口綁定功能。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[SwitchB-GigabitEthernet1/0/2] quit
如圖1-3所示,在Switch B上配置SAVI,滿足如下用戶需求:
· 主機可以通過DHCPv6方式和無狀態地址自動配置方式獲取地址。
· 從端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上收到的DHCPv6協議報文、ND協議報文和IPv6數據報文基於DHCPv6 Snooping綁定表項和ND Snooping綁定表項做源地址合法性檢查。
圖1-3 配置DHCPv6與SLAAC混合場景組網圖
# 開啟SAVI功能。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5加入VLAN 2。
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3 gigabitethernet 1/0/4 gigabitethernet 1/0/5
# 開啟DHCPv6 Snooping功能。
[SwitchB] ipv6 dhcp snooping enable
# 在端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5開啟DHCPv6 Snooping表項記錄功能。
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet 1/0/4
[SwitchB-GigabitEthernet1/0/4] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet 1/0/5
[SwitchB-GigabitEthernet1/0/5] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/5] quit
# 配置端口GigabitEthernet1/0/1為DHCPv6 Snooping信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
#開啟VLAN 2下的全球單播類型地址的ND Snooping功能和ND Detection功能。
[SwitchB] vlan 2
[SwitchB-vlan2] ipv6 nd snooping enable global
[SwitchB-vlan2] ipv6 nd detection enable
[SwitchB-vlan2] quit
# 配置GigabitEthernet1/0/2端口為ND detection信任端口。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 nd detection trust
[SwitchB-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上開啟IPv6接口綁定功能。
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ip verify source ipv6 ip-address mac-address
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet 1/0/4
[SwitchB-GigabitEthernet1/0/4] ip verify source ipv6 ip-address mac-address
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet 1/0/5
[SwitchB-GigabitEthernet1/0/5] ip verify source ipv6 ip-address mac-address
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
