目  錄

1 SAVI

1.1 SAVI簡介

1.2 SAVI典型應用場景

1.3 SAVI配置任務簡介

1.4 開啟SAVI

1.5 配置IPv6 Source Guard

1.6 配置DHCPv6 Snooping基本功能

1.7 配置ND相關參數

1.8 配置動態綁定表項的延遲刪除時間

1.9 配置SAVI仿冒報文或過濾表項的日誌功能

1.10 SAVI典型配置舉例

1.10.1 DHCPv6-Only場景中的SAVI配置舉例

1.10.2 SLAAC-Only場景中的SAVI配置舉例

1.10.3 DHCPv6與SLAAC混合場景中的SAVI配置舉例

1 SAVI

1.1  SAVI簡介

SAVI（Source Address Validation Improvement，源地址有效性驗證）特性用來在接入設備上以ND Snooping、DHCPv6 Snooping及IP Source Guard中IPv6靜態綁定表項為依據對源地址為全球單播類型的IPv6報文進行檢查，避免非法報文通過接入設備進入內部網絡。隻要報文源地址與某綁定表項匹配，則認為該報文為合法報文，正常轉發；否則將該報文丟棄。對於源地址為本地鏈路地址的IPv6報文，設備進行轉發時不作SAVI檢查。

1.2  SAVI典型應用場景

1. DHCPv6-Only場景下的SAVI

在該場景中，主機與配置了SAVI的設備相連，隻能通過DHCPv6方式動態獲取地址。SAVI設備對DHCPv6協議報文、ND協議報文（除了RA報文和RR報文）和IPv6數據報文基於DHCPv6 Snooping表項和手工配置的IPv6靜態綁定表項進行源地址的合法性檢查。

2. SLAAC-Only場景下的SAVI

在該場景中，主機與配置了SAVI的設備相連，除了能手工配置地址外，隻能通過SLAAC（Stateless Address Autoconfiguration，無狀態地址自動配置）方式動態獲取地址。SAVI設備丟棄所有的DHCPv6協議報文，對ND協議報文和IPv6數據報文基於ND Snooping表項和手工配置的IPv6靜態綁定表項進行源地址的合法性檢查。

3. DHCPv6與SLAAC混合場景下的SAVI

在該場景中，主機與配置了SAVI的設備相連，除了能手工配置地址外，還可以通過DHCPv6和SLAAC兩種方式動態獲取地址。SAVI設備會對DHCPv6協議報文、ND協議報文和IPv6數據報文基於DHCPv6 Snooping表項、ND Snooping表項和手工配置的IPv6靜態綁定表項進行源地址的合法性檢查。

1.3  SAVI配置任務簡介

SAVI配置任務如下：

(1)     開啟SAVI

(2)     配置IPv6 Source Guard

(3)     配置DHCPv6 Snooping基本功能

(4)     配置ND相關參數

(5)     （可選）配置動態綁定表項的延遲刪除時間

(6)     （可選）配置SAVI仿冒報文或過濾表項的日誌功能

1.4  開啟SAVI

(1)     進入係統視圖。

system-view

(2)     開啟SAVI功能。

ipv6 savi strict

缺省情況下，SAVI功能處於關閉狀態。

1.5  配置IPv6 Source Guard

(1)     開啟IPv6接口綁定功能。

(2)     （可選）配置IPv6靜態綁定表項。

IPv6綁定功能的具體配置請參見“安全配置指導”中的“IP Source Guard”。

1.6  配置DHCPv6 Snooping基本功能

1. 配置限製和指導

SLAAC-Only場景下，僅開啟DHCPv6 Snooping功能即可。

2. 配置步驟

(1)     開啟DHCPv6 Snooping功能。

(2)     配置DHCPv6 Snooping信任端口。

(3)     開啟端口的DHCPv6 Snooping表項記錄功能。

DHCPv6 Snooping基本功能的具體配置請參見“三層技術-IP業務配置指導”中的“DHCPv6 Snooping”。

1.7  配置ND相關參數

1. 配置限製和指導

DHCPv6-Only場景下，僅開啟ND Detection功能即可。

2. 配置步驟

(1)     開啟學習表項地址類型為全球單播地址的ND Snooping表項的功能。ND Snooping表項的具體配置請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。

(2)     開啟ND Detection功能。ND Detection功能的具體配置請參見“安全配置指導”中的“ND攻擊防禦”。

(3)     配置ND信任端口。ND信任端口的具體配置請參見“安全配置指導”中的“ND攻擊防禦”。

1.8  配置動態綁定表項的延遲刪除時間

1. 功能簡介

開啟SAVI功能後，如果端口在down狀態的持續時間超過所配置的延遲刪除時間，係統將會刪除該端口上相關的DHCPv6 Snooping表項和ND Snooping表項。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置動態綁定表項的延遲刪除時間。

ipv6 savi down-delay delay-time

缺省情況下，端口狀態為down後動態綁定表項的延遲刪除時間為30秒。

1.9  配置SAVI仿冒報文或過濾表項的日誌功能

1. 功能簡介

開啟SAVI仿冒報文的日誌功能後，當SAVI檢測到仿冒報文時，設備會生成SAVI仿冒報文日誌信息，以方便管理員定位和解決問題。

SAVI過濾表項是指已生效的用於過濾IPv6報文源地址的綁定表項。SAVI過濾表項日誌信息中記錄了過濾表項的IPv6地址和MAC地址以及過濾表項所屬的VLAN和接口，以方便管理員定位和解決問題。

生成的SAVI仿冒報文和SAVI過濾表項的日誌信息會交給信息中心模塊處理，信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述，請參見“網絡管理和監控配置指導”中的“信息中心”。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     開啟SAVI仿冒報文的日誌功能。

ipv6 savi log enable spoofing-packet [ interval interval | total-number number ] *

缺省情況下，未開啟仿冒報文的日誌功能。

(3)     開啟SAVI過濾表項的日誌功能。

ipv6 savi log enable filter-entry

缺省情況下，未開啟過濾表項的日誌功能。

1.10  SAVI典型配置舉例

1.10.1  DHCPv6-Only場景中的SAVI配置舉例

1. 組網需求

如圖1-1所示，在Switch上配置SAVI，滿足如下用戶需求：

·     DHCPv6客戶端隻能通過DHCPv6方式獲取IPv6地址。

·     從端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上收到的DHCPv6協議報文、ND協議報文（除RA、RR報文）和IPv6數據報文基於DHCPv6 Snooping綁定表項做源地址的合法性檢查。

2. 組網圖

圖1-1 配置DHCPv6-Only場景組網圖

‌

3. 配置步驟

# 開啟SAVI功能。

<Switch> system-view

[Switch] ipv6 savi strict

# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。

[Switch] vlan 2

[Switch-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3

[Switch-vlan2] quit

# 開啟DHCPv6 Snooping功能。

[Switch] ipv6 dhcp snooping enable

# 配置GigabitEthernet1/0/1端口為DHCPv6 Snooping信任端口。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[Switch-GigabitEthernet1/0/1] quit

# 在端口GigabitEthernet1/0/2和GigabitEthernet1/0/3開啟DHCPv6 Snooping表項記錄功能。

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record

[Switch-GigabitEthernet1/0/2] quit

[Switch] interface gigabitethernet 1/0/3

[Switch-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record

[Switch-GigabitEthernet1/0/3] quit

# 開啟ND Detection功能。

[Switch] vlan 2

[Switch-vlan2] ipv6 nd detection enable

[Switch-vlan2] quit

# 在端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上開啟IPv6接口綁定功能。

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] ipv6 verify source ip-address mac-address

[Switch-GigabitEthernet1/0/2] quit

[Switch] interface gigabitethernet 1/0/3

[Switch-GigabitEthernet1/0/3] ipv6 verify source ip-address mac-address

[Switch-GigabitEthernet1/0/3] quit

1.10.2  SLAAC-Only場景中的SAVI配置舉例

1. 組網需求

如圖1-2所示，在Switch B上配置SAVI，滿足如下用戶需求：

·     主機隻能通過無狀態地址自動配置方式獲取地址。

·     VLAN 2內端口收到的所有DHCPv6協議報文被丟棄。

·     從端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上收到的ND協議報文和IPv6數據報文基於ND Snooping綁定表項做源地址合法性的檢查。

2. 組網圖

圖1-2 配置SLAAC-Only場景組網圖

‌

3. 配置步驟

# 開啟SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3

[SwitchB-vlan2] quit

# 開啟VLAN 2下的全球單播類型地址的ND Snooping功能和ND Detection功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable global

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 開啟DHCPv6 Snooping功能來禁止DHCPv6協議報文轉發。

[SwitchB] ipv6 dhcp snooping enable

# 配置端口GigabitEthernet1/0/3為ND信任端口。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 nd detection trust

[SwitchB-GigabitEthernet1/0/3] quit

# 在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上開啟IPv6接口綁定功能。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/1] quit

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/2] quit

1.10.3  DHCPv6與SLAAC混合場景中的SAVI配置舉例

1. 組網需求

如圖1-3所示，在Switch B上配置SAVI，滿足如下用戶需求：

·     主機可以通過DHCPv6方式和無狀態地址自動配置方式獲取地址。

·     從端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上收到的DHCPv6協議報文、ND協議報文和IPv6數據報文基於DHCPv6 Snooping綁定表項和ND Snooping綁定表項做源地址合法性檢查。

2. 組網圖

圖1-3 配置DHCPv6與SLAAC混合場景組網圖

‌

3. 配置步驟

# 開啟SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3 gigabitethernet 1/0/4 gigabitethernet 1/0/5

# 開啟DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 在端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5開啟DHCPv6 Snooping表項記錄功能。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/3] quit

[SwitchB] interface gigabitethernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/4] quit

[SwitchB] interface gigabitethernet 1/0/5

[SwitchB-GigabitEthernet1/0/5] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/5] quit

# 配置端口GigabitEthernet1/0/1為DHCPv6 Snooping信任端口。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

#開啟VLAN 2下的全球單播類型地址的ND Snooping功能和ND Detection功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable global

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 配置GigabitEthernet1/0/2端口為ND detection信任端口。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 nd detection trust

[SwitchB-GigabitEthernet1/0/2] quit

# 在端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上開啟IPv6接口綁定功能。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/3] quit

[SwitchB] interface gigabitethernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/4] quit

[SwitchB] interface gigabitethernet 1/0/5

[SwitchB-GigabitEthernet1/0/5] ipv6 verify source ip-address mac-address