• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全配置指导

目录

22-SAVI配置

本章节下载 22-SAVI配置  (154.29 KB)

22-SAVI配置


1 SAVI

1.1  SAVI简介

SAVI(Source Address Validation,源地址有效性验证)通过对ND Snooping特性、DHCPv6 Snooping特性、ND Detection特性及IP Source Guard特性的组合配置,实现对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。

SAVI特性可以在如下场景下使用:

·     DHCPv6-Only:和配置SAVI的设备连接的主机只能通过DHCPv6方式获取地址。

·     SLAAC-Only:SLAAC(Stateless Address Autoconfiguration,无状态地址自动配置),和配置SAVI的设备连接的主机只能通过自动地址分配方式获取地址。

·     DHCPv6与SLAAC混合:和配置SAVI的设备连接的主机可以通过DHCPv6方式和自动地址分配方式获取地址。

DHCPv6 Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

ND Detection的详细介绍请参见“安全配置指导”中的“ND攻击防御”。

IPv6接口绑定功能的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

下面将依次介绍SAVI的典型应用场景。

1.2  SAVI典型配置举例

1.2.1  SAVI支持DHCPv6-Only应用配置举例

1. 组网需求

图1-1所示的DHCPv6-Only场景下,Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCPv6服务器,通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到主机,GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3都属于VLAN 2。主机只能通过DHCPv6方式获取IPv6地址,不能通过自动地址配置方式获取IPv6地址。设备Switch B只允许使用已绑定的DHCPv6方式分配的地址发送的报文通过。

2. 组网图

图1-1 DHCPv6-Only场景组网图

 

3. 配置思路

本场景需要在Switch B上进行下列配置:

·     开启DHCPv6 Snooping功能。

·     开启端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上DHCPv6 Snooping的DHCPv6请求方向报文检查功能。

·     为了检查 端口上的ND协议报文,需要在VLAN下开启ND Detection功能。

·     在连接主机的端口上配置IP Source Guard的IPv6静态绑定表项(本配置可选,如果不配置,检查时将不检查静态绑定表项。)

·     在连接主机的端口上开启IP Source Guard的IPv6接口绑定功能。

4. 报文检查原则

接入设备Switch B会对DHCPv6客户端发送的DHCPv6协议报文和ND协议报文基于DHCPv6 Snooping表项和静态绑定表项检查,对连接主机的端口上收到的IPv6数据报文基于下发到端口的DHCPv6 Snooping表项和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息和入端口信息。

5. 配置步骤

# 开启全局DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3

# 配置GigabitEthernet1/0/1端口为信任端口。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

# 开启端口GigabitEthernet1/0/2和GigabitEthernet1/0/3的DHCPv6 Snooping表项记录功能。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/3] quit

# 开启端口GigabitEthernet1/0/2GigabitEthernet1/0/3DHCPv6 SnoopingDHCPv6请求方向报文检查功能

[Sysname] interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2] ipv6 dhcp snooping check request-message

[SwitchB-GigabitEthernet1/0/2] quit

[Sysname] interface gigabitethernet 1/0/3

[Sysname-GigabitEthernet1/0/3] ipv6 dhcp snooping check request-message

[SwitchB-GigabitEthernet1/0/3] quit

# 开启ND Detection功能和学习表项地址类型为链路本地地址的ND Snooping表项的功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] ipv6 nd snooping enable link-local

[SwitchB-vlan2] quit

# 下行端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上开启IP Source Guard的IPv6接口的绑定功能。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/3] quit

1.2.2  SAVI支持SLAAC-Only应用配置举例

1. 组网需求

图1-2所示的SLAAC-Only场景下,用户Host A和Host B通过Switch B接入网关Switch A。主机只能通过自动地址分配方式获取IPv6地址。设备Switch B只允许已绑定的无状态地址自动配置方式分配的地址发送的报文通过,不允许DHCPv6方式分配的地址发送的报文通过。

2. 组网图

图1-2 SLAAC-Only场景组网图

 

3. 配置思路

本场景需要在Switch B上进行下列配置:

·     开启全球单播类型地址的ND Snooping功能。ND Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

·     为了检查端口上的ND协议报文,需要在VLAN下开启ND Detection功能。

·     在连接主机的端口上配置IP Source Guard的IPv6静态绑定表项(本配置可选,如果不配置,检查时将不检查静态绑定表项。)

·     在连接主机的端口上开启IP Source Guard的IPv6接口绑定功能。

·     开启DHCPv6 Snooping功能,并且连接Gateway的端口保持默认的非trust状态,来保证主机不能通过DHCPv6方式获取到地址。

4. 报文检查原则

接入设备Switch B会对ND协议报文基于ND Snooping表项和静态绑定表项检查,对连接主机的端口上收到的IPv6数据报文基于下发到端口的动态绑定表项(包括ND Snooping表项)和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息和入端口信息。

5. 配置步骤

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 10。

[SwitchB] vlan 10

[SwitchB-vlan10] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3

[SwitchB-vlan10] quit

# 开启VLAN10下的全球单播类型地址的ND Snooping功能。

[SwitchB] vlan 10

[SwitchB-vlan10] ipv6 nd snooping enable global

# 开启ND Detection功能。

[SwitchB-vlan10] ipv6 nd detection enable

[SwitchB-vlan10] quit

# 开启DHCPv6 Snooping功能来禁止DHCPv6协议报文转发。

[SwitchB] ipv6 dhcp snooping enable

# 将上行端口GigabitEthernet1/0/3配置为ND信任端口。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 nd detection trust

[SwitchB-GigabitEthernet1/0/3] quit

# 在下行端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上配置IPv6接口绑定功能。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/1] quit

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/2] quit

1.2.3  SAVI支持DHCPv6与SLAAC混合应用配置举例

1. 组网需求

图1-3所示的在混合场景下,Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCPv6服务器,通过以太网端口GigabitEthernet1/0/3连接到DHCPv6客户端。用户Host A和Host B通过Switch B接入网关Switch A。Switch B上GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5都属于VLAN 2。主机可以通过DHCPv6方式和自动地址分配方式获取地址。在设备Switch B上配置SAVI后,设备Switch B将允许DHCPv6方式分配的地址和已绑定的无状态地址自动配置方式分配的地址发送的报文通过。

2. 组网图

图1-3 DHCPv6与SLAAC混合场景组网图

 

3. 配置思路

本场景需要在Switch B上进行下列配置:

·     开启DHCPv6 Snooping功能。

·     开启端口GigabitEthernet1/0/3上DHCPv6 Snooping的DHCPv6请求方向报文检查功能。

·     开启全球单播类型地址的ND Snooping功能。

·     为了检查端口上的ND协议报文,需要在VLAN下开启ND Detection功能。

·     在连接主机的端口上配置IP Source Guard的IPv6静态绑定表项(本配置可选,如果不配置,检查时将不检查静态绑定表项。)

·     在连接主机的端口上开启IP Source Guard的IPv6接口绑定功能。

4. 报文检查原则

接入设备Switch B会对DHCPv6客户端发送的DHCPv6协议报文和ND协议报文基于ND Snooping表项、DHCPv6 Snooping表项和静态绑定表项检查,对连接主机的端口上收到的IPv6数据报文基于下发到端口的动态绑定表项(包括ND Snooping表项、DHCPv6 Snooping表项)和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息、入端口信息。

5. 配置步骤

# 开启DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3 gigabitethernet 1/0/4 gigabitethernet 1/0/5

# 配置端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5学习DHCPv6 snooping表项。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/3] quit

[SwitchB] interface gigabitethernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/4] quit

[SwitchB] interface gigabitethernet 1/0/5

[SwitchB-GigabitEthernet1/0/5] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/5] quit

# 配置GigabitEthernet1/0/1端口为DHCPv6 Snooping信任端口。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

# 开启端口GigabitEthernet1/0/3DHCPv6 SnoopingDHCPv6请求方向报文检查功能。

[Sysname] interface gigabitethernet 1/0/3

[Sysname-GigabitEthernet1/0/3] ipv6 dhcp snooping check request-message

[SwitchB-GigabitEthernet1/0/3] quit

# 开启ND Snooping功能、ND Detection功能和学习表项地址类型为链路本地地址的ND Snooping表项的功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable global

[SwitchB-vlan2] ipv6 nd snooping enable link-local

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 配置GigabitEthernet1/0/2端口为ND detection信任端口。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 nd detection trust

[SwitchB-GigabitEthernet1/0/2] quit

# 在下行端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上配置IPv6接口绑定功能。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/3] quit

[SwitchB] interface gigabitethernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] ipv6 verify source ip-address mac-address

[SwitchB-GigabitEthernet1/0/4] quit

[SwitchB] interface gigabitethernet 1/0/5

[SwitchB-GigabitEthernet1/0/5] ipv6 verify source ip-address mac-address

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们