21-SAVI配置
本章节下载: 21-SAVI配置 (211.85 KB)
SAVI(Source Address Validation Improvement,源地址有效性验证)特性用来在接入设备上以ND Snooping、DHCPv6 Snooping及IP Source Guard中IPv6静态绑定表项为依据对源地址为全球单播类型的IPv6报文进行检查,避免非法报文通过接入设备进入内部网络。只要报文源地址与某绑定表项匹配,则认为该报文为合法报文,正常转发;否则将该报文丢弃。对于源地址为本地链路地址的IPv6报文,设备进行转发时不作SAVI检查。
在该场景中,主机与配置了SAVI的设备相连,除了能手工配置地址外,只能通过DHCPv6方式动态获取地址。SAVI设备丢弃ND协议报文中所有的RA报文和RR报文,对DHCPv6协议报文、ND协议报文(除了RA报文和RR报文)和IPv6数据报文基于DHCPv6 Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。
在该场景中,主机与配置了SAVI的设备相连,除了能手工配置地址外,只能通过SLAAC(Stateless Address Autoconfiguration,无状态地址自动配置)方式动态获取地址。SAVI设备丢弃所有的DHCPv6协议报文,对ND协议报文和IPv6数据报文基于ND Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。
在该场景中,主机与配置了SAVI的设备相连,除了能手工配置地址外,还可以通过DHCPv6和SLAAC两种方式动态获取地址。SAVI设备会对DHCPv6协议报文、ND协议报文和IPv6数据报文基于DHCPv6 Snooping表项、ND Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。
表1-1 SAVI配置任务简介
配置任务 |
说明 |
详细配置 |
开启SAVI |
必选 |
|
配置IP Source Guard相关参数 |
必选 |
|
配置DHCPv6 Snooping基本功能 |
必选 |
|
配置ND相关参数 |
必选 |
|
配置动态绑定表项的延迟删除时间 |
可选 |
表1-2 开启SAVI
开启SAVI功能 |
ipv6 savi strict |
缺省情况下,SAVI功能处于关闭状态 |
配置步骤:
(1) 开启IPv6接口绑定功能。
(2) (可选)配置IPv6静态绑定表项。
IP Source Guard相关参数的具体配置请参见“安全配置指导”中的“IP Source Guard”
注意事项:SLAAC-Only场景下,仅开启DHCPv6 Snooping功能即可。
配置步骤:
(1) 开启DHCPv6 Snooping功能。
(2) 配置DHCPv6 Snooping信任端口。
(3) 开启端口的DHCPv6 Snooping表项记录功能。
DHCPv6 Snooping基本功能的具体配置请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。
注意事项:DHCPv6-Only场景下,仅开启ND Detection功能即可。
配置步骤:
(1) 开启学习表项地址类型为全球单播地址的ND Snooping表项的功能。
(2) 开启ND Detection功能。
(3) 配置ND信任端口。
ND Snooping表项的具体配置请参见“三层技术-IP业务配置指导”中的“IPv6基础”。ND Detection功能及ND信任端口的具体配置请参见“安全配置指导”中的“ND攻击防御”。
开启SAVI功能后,如果端口在down状态的持续时间超过所配置的延迟删除时间,系统将会删除该端口上相关的DHCPv6 Snooping表项和ND Snooping表项。
表1-3 配置动态绑定表项的延迟删除时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置动态绑定表项的延迟删除时间 |
ipv6 savi down-delay delay-time |
缺省情况下,端口状态为down后动态绑定表项的延迟删除时间为30秒 |
如图1-1所示,在Switch B上配置SAVI,满足如下用户需求:
· DHCPv6客户端只能通过DHCPv6方式获取IPv6地址。
· VLAN 2内端口收到的RA报文、RR报文被丢弃。
· 从端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上收到的DHCPv6协议报文、ND协议报文(除RA、RR报文)和IPv6数据报文基于DHCPv6 Snooping绑定表项做源地址的合法性检查。
图1-1 配置DHCPv6-Only场景组网图
# 开启SAVI功能。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3
[SwitchB-vlan2] quit
[SwitchB] ipv6 dhcp snooping enable
# 配置GigabitEthernet1/0/1端口为DHCPv6 Snooping信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 在端口GigabitEthernet1/0/2和GigabitEthernet1/0/3开启DHCPv6 Snooping表项记录功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/3] quit
# 开启ND Detection功能。
[SwitchB] vlan 2
[SwitchB-vlan2] ipv6 nd detection enable
[SwitchB-vlan2] quit
# 在端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上开启IPv6接口绑定功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 verify source ip-address mac-address
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 verify source ip-address mac-address
[SwitchB-GigabitEthernet1/0/3] quit
如图1-2所示,在Switch B上配置SAVI,满足如下用户需求:
· 主机只能通过无状态地址自动配置方式获取地址。
· VLAN 2内端口收到的所有DHCPv6协议报文被丢弃。
· 从端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上收到的ND协议报文和IPv6数据报文基于ND Snooping绑定表项做源地址合法性的检查。
图1-2 配置SLAAC-Only场景组网图
# 开启SAVI功能。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3
[SwitchB-vlan2] quit
# 开启VLAN 2下的全球单播类型地址的ND Snooping功能和ND Detection功能。
[SwitchB] vlan 2
[SwitchB-vlan2] ipv6 nd snooping enable global
[SwitchB-vlan2] ipv6 nd detection enable
[SwitchB-vlan2] quit
# 开启DHCPv6 Snooping功能来禁止DHCPv6协议报文转发。
[SwitchB] ipv6 dhcp snooping enable
# 配置端口GigabitEthernet1/0/3为ND信任端口。
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 nd detection trust
[SwitchB-GigabitEthernet1/0/3] quit
# 在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上开启IPv6接口绑定功能。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[SwitchB-GigabitEthernet1/0/2] quit
如图1-3所示,在Switch B上配置SAVI,满足如下用户需求:
· 主机可以通过DHCPv6方式和无状态地址自动配置方式获取地址。
· 从端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上收到的DHCPv6协议报文、ND协议报文和IPv6数据报文基于DHCPv6 Snooping绑定表项和ND Snooping绑定表项做源地址合法性检查。
图1-3 配置DHCPv6与SLAAC混合场景组网图
# 开启SAVI功能。
<SwitchB> system-view
[SwitchB] ipv6 savi strict
# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5加入VLAN 2。
[SwitchB] vlan 2
[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3 gigabitethernet 1/0/4 gigabitethernet 1/0/5
# 开启DHCPv6 Snooping功能。
[SwitchB] ipv6 dhcp snooping enable
# 在端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5开启DHCPv6 Snooping表项记录功能。
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet 1/0/4
[SwitchB-GigabitEthernet1/0/4] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet 1/0/5
[SwitchB-GigabitEthernet1/0/5] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/5] quit
# 配置端口GigabitEthernet1/0/1为DHCPv6 Snooping信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
#开启VLAN 2下的全球单播类型地址的ND Snooping功能和ND Detection功能。
[SwitchB] vlan 2
[SwitchB-vlan2] ipv6 nd snooping enable global
[SwitchB-vlan2] ipv6 nd detection enable
[SwitchB-vlan2] quit
# 配置GigabitEthernet1/0/2端口为ND detection信任端口。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 nd detection trust
[SwitchB-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上开启IPv6接口绑定功能。
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ip verify source ipv6 ip-address mac-address
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet 1/0/4
[SwitchB-GigabitEthernet1/0/4] ip verify source ipv6 ip-address mac-address
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet 1/0/5
[SwitchB-GigabitEthernet1/0/5] ip verify source ipv6 ip-address mac-address
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!