• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全配置指导

目录

21-SAVI配置

本章节下载 21-SAVI配置  (211.85 KB)

21-SAVI配置


1 SAVI

1.1  SAVI配置

SAVI(Source Address Validation Improvement,源地址有效性验证)特性用来在接入设备上以ND Snooping、DHCPv6 Snooping及IP Source Guard中IPv6静态绑定表项为依据对源地址为全球单播类型的IPv6报文进行检查,避免非法报文通过接入设备进入内部网络。只要报文源地址与某绑定表项匹配,则认为该报文为合法报文,正常转发;否则将该报文丢弃。对于源地址为本地链路地址的IPv6报文,设备进行转发时不作SAVI检查。

1.1.1  DHCPv6-Only场景下的SAVI

在该场景中,主机与配置了SAVI的设备相连,除了能手工配置地址外,只能通过DHCPv6方式动态获取地址。SAVI设备丢弃ND协议报文中所有的RA报文和RR报文,对DHCPv6协议报文、ND协议报文(除了RA报文和RR报文)和IPv6数据报文基于DHCPv6 Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。

1.1.2  SLAAC-Only场景下的SAVI

在该场景中,主机与配置了SAVI的设备相连,除了能手工配置地址外,只能通过SLAAC(Stateless Address Autoconfiguration,无状态地址自动配置)方式动态获取地址。SAVI设备丢弃所有的DHCPv6协议报文,对ND协议报文和IPv6数据报文基于ND Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。

1.1.3  DHCPv6与SLAAC混合场景下的SAVI

在该场景中,主机与配置了SAVI的设备相连,除了能手工配置地址外,还可以通过DHCPv6和SLAAC两种方式动态获取地址。SAVI设备会对DHCPv6协议报文、ND协议报文和IPv6数据报文基于DHCPv6 Snooping表项、ND Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。

1.2  SAVI配置任务简介

表1-1 SAVI配置任务简介

配置任务

说明

详细配置

开启SAVI

必选

1.3 

配置IP Source Guard相关参数

必选

1.4 

配置DHCPv6 Snooping基本功能

必选

1.5 

配置ND相关参数

必选

1.6 

配置动态绑定表项的延迟删除时间

可选

1.7 

 

1.3  开启SAVI

表1-2 开启SAVI

操作

命令

说明

进入系统视图

system-view

-

开启SAVI功能

ipv6 savi strict

缺省情况下,SAVI功能处于关闭状态

 

1.4  配置IP Source Guard相关参数

配置步骤:

(1)       开启IPv6接口绑定功能。

(2)       (可选)配置IPv6静态绑定表项。

IP Source Guard相关参数的具体配置请参见“安全配置指导”中的“IP Source Guard”

1.5  配置DHCPv6 Snooping基本功能

注意事项:SLAAC-Only场景下,仅开启DHCPv6 Snooping功能即可。

配置步骤:

(1)       开启DHCPv6 Snooping功能。

(2)       配置DHCPv6 Snooping信任端口。

(3)       开启端口的DHCPv6 Snooping表项记录功能。

DHCPv6 Snooping基本功能的具体配置请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

1.6  配置ND相关参数

注意事项:DHCPv6-Only场景下,仅开启ND Detection功能即可。

配置步骤:

(1)       开启学习表项地址类型为全球单播地址的ND Snooping表项的功能。

(2)       开启ND Detection功能。

(3)       配置ND信任端口。

ND Snooping表项的具体配置请参见“三层技术-IP业务配置指导”中的“IPv6基础”。ND Detection功能及ND信任端口的具体配置请参见“安全配置指导”中的“ND攻击防御”。

1.7  配置动态绑定表项的延迟删除时间

开启SAVI功能后,如果端口在down状态的持续时间超过所配置的延迟删除时间,系统将会删除该端口上相关的DHCPv6 Snooping表项和ND Snooping表项。

表1-3 配置动态绑定表项的延迟删除时间

操作

命令

说明

进入系统视图

system-view

-

配置动态绑定表项的延迟删除时间

ipv6 savi down-delay delay-time

缺省情况下,端口状态为down后动态绑定表项的延迟删除时间为30秒

 

1.8  SAVI典型配置举例

1.8.1  DHCPv6-Only场景中的SAVI配置举例

1. 组网需求

图1-1所示,在Switch B上配置SAVI,满足如下用户需求:

·            DHCPv6客户端只能通过DHCPv6方式获取IPv6地址。

·            VLAN 2内端口收到的RA报文、RR报文被丢弃。

·            从端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上收到的DHCPv6协议报文、ND协议报文(除RA、RR报文)和IPv6数据报文基于DHCPv6 Snooping绑定表项做源地址的合法性检查。

2. 组网图

图1-1 配置DHCPv6-Only场景组网图

 

3. 配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3

[SwitchB-vlan2] quit

# 开启DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 配置GigabitEthernet1/0/1端口为DHCPv6 Snooping信任端口。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

# 在端口GigabitEthernet1/0/2和GigabitEthernet1/0/3开启DHCPv6 Snooping表项记录功能。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/3] quit

# 开启ND Detection功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 在端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上开启IPv6接口绑定功能。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/3] quit

1.8.2  SLAAC-Only场景中的SAVI配置举例

1. 组网需求

图1-2所示,在Switch B上配置SAVI,满足如下用户需求:

·            主机只能通过无状态地址自动配置方式获取地址。

·            VLAN 2内端口收到的所有DHCPv6协议报文被丢弃。

·            从端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上收到的ND协议报文和IPv6数据报文基于ND Snooping绑定表项做源地址合法性的检查。

2. 组网图

图1-2 配置SLAAC-Only场景组网图

 

3. 配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3

[SwitchB-vlan2] quit

# 开启VLAN 2下的全球单播类型地址的ND Snooping功能和ND Detection功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable global

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 开启DHCPv6 Snooping功能来禁止DHCPv6协议报文转发。

[SwitchB] ipv6 dhcp snooping enable

# 配置端口GigabitEthernet1/0/3为ND信任端口。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 nd detection trust

[SwitchB-GigabitEthernet1/0/3] quit

# 在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上开启IPv6接口绑定功能。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ip verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/1] quit

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ip verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/2] quit

1.8.3  DHCPv6与SLAAC混合场景中的SAVI配置举例

1. 组网需求

图1-3所示,在Switch B上配置SAVI,满足如下用户需求:

·            主机可以通过DHCPv6方式和无状态地址自动配置方式获取地址。

·            从端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上收到的DHCPv6协议报文、ND协议报文和IPv6数据报文基于DHCPv6 Snooping绑定表项和ND Snooping绑定表项做源地址合法性检查。

2. 组网图

图1-3 配置DHCPv6与SLAAC混合场景组网图

 

3. 配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3 gigabitethernet 1/0/4 gigabitethernet 1/0/5

# 开启DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 在端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5开启DHCPv6 Snooping表项记录功能。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/3] quit

[SwitchB] interface gigabitethernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/4] quit

[SwitchB] interface gigabitethernet 1/0/5

[SwitchB-GigabitEthernet1/0/5] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/5] quit

# 配置端口GigabitEthernet1/0/1为DHCPv6 Snooping信任端口。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

#开启VLAN 2下的全球单播类型地址的ND Snooping功能和ND Detection功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable global

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 配置GigabitEthernet1/0/2端口为ND detection信任端口。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 nd detection trust

[SwitchB-GigabitEthernet1/0/2] quit

# 在端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上开启IPv6接口绑定功能。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ip verify source ipv6 ip-address mac-address

[SwitchB-GigabitEthernet1/0/3] quit

[SwitchB] interface gigabitethernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] ip verify source ipv6 ip-address mac-address

[SwitchB-GigabitEthernet1/0/4] quit

[SwitchB] interface gigabitethernet 1/0/5

[SwitchB-GigabitEthernet1/0/5] ip verify source ipv6 ip-address mac-address

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们