• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

11-安全配置指导

目录

27-SAVI配置

本章节下载 27-SAVI配置  (237.07 KB)

27-SAVI配置


1 SAVI

1.1  SAVI简介

SAVI(Source Address Validation Improvement,源地址有效性验证)特性用来在接入设备上以ND Snooping、DHCPv6 Snooping及IP Source Guard中IPv6静态绑定表项为依据对源地址为全球单播类型的IPv6报文进行检查,避免非法报文通过接入设备进入内部网络。只要报文源地址与某绑定表项匹配,则认为该报文为合法报文,正常转发;否则将该报文丢弃。对于源地址为本地链路地址的IPv6报文,设备进行转发时不作SAVI检查。

1.2  SAVI典型应用场景

1. DHCPv6-Only场景下的SAVI

在该场景中,主机与配置了SAVI的设备相连,只能通过DHCPv6方式动态获取地址。SAVI设备对DHCPv6协议报文、ND协议报文(除了RA报文和RR报文)和IPv6数据报文基于DHCPv6 Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。

2. SLAAC-Only场景下的SAVI

在该场景中,主机与配置了SAVI的设备相连,除了能手工配置地址外,只能通过SLAAC(Stateless Address Autoconfiguration,无状态地址自动配置)方式动态获取地址。SAVI设备丢弃所有的DHCPv6协议报文,对ND协议报文和IPv6数据报文基于ND Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。

3. DHCPv6与SLAAC混合场景下的SAVI

在该场景中,主机与配置了SAVI的设备相连,除了能手工配置地址外,还可以通过DHCPv6和SLAAC两种方式动态获取地址。SAVI设备会对DHCPv6协议报文、ND协议报文和IPv6数据报文基于DHCPv6 Snooping表项、ND Snooping表项和手工配置的IPv6静态绑定表项进行源地址的合法性检查。

1.3  SAVI配置任务简介

SAVI配置任务如下:

(1)     开启SAVI

(2)     配置IPv6 Source Guard

(3)     配置DHCPv6 Snooping基本功能

(4)     配置ND相关参数

(5)     (可选)配置动态绑定表项的延迟删除时间

(6)     (可选)配置SAVI仿冒报文或过滤表项的日志功能

1.4  开启SAVI

(1)     进入系统视图。

system-view

(2)     开启SAVI功能。

ipv6 savi strict

缺省情况下,SAVI功能处于关闭状态。

1.5  配置IPv6 Source Guard

(1)     开启IPv6接口绑定功能。

(2)     (可选)配置IPv6静态绑定表项。

IPv6绑定功能的具体配置请参见“安全配置指导”中的“IP Source Guard”。

1.6  配置DHCPv6 Snooping基本功能

1. 配置限制和指导

SLAAC-Only场景下,仅开启DHCPv6 Snooping功能即可。

2. 配置步骤

(1)     开启DHCPv6 Snooping功能。

(2)     配置DHCPv6 Snooping信任端口。

(3)     开启端口的DHCPv6 Snooping表项记录功能。

DHCPv6 Snooping基本功能的具体配置请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

1.7  配置ND相关参数

1. 配置限制和指导

DHCPv6-Only场景下,仅开启ND Detection功能即可。

2. 配置步骤

(1)     开启学习表项地址类型为全球单播地址的ND Snooping表项的功能。ND Snooping表项的具体配置请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

(2)     开启ND Detection功能。ND Detection功能的具体配置请参见“安全配置指导”中的“ND攻击防御”。

(3)     配置ND信任端口。ND信任端口的具体配置请参见“安全配置指导”中的“ND攻击防御”。

1.8  配置动态绑定表项的延迟删除时间

1. 功能简介

开启SAVI功能后,如果端口在down状态的持续时间超过所配置的延迟删除时间,系统将会删除该端口上相关的DHCPv6 Snooping表项和ND Snooping表项。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置动态绑定表项的延迟删除时间。

ipv6 savi down-delay delay-time

缺省情况下,端口状态为down后动态绑定表项的延迟删除时间为30秒。

1.9  配置SAVI仿冒报文或过滤表项的日志功能

1. 功能简介

开启SAVI仿冒报文的日志功能后,当SAVI检测到仿冒报文时,设备会生成SAVI仿冒报文日志信息,以方便管理员定位和解决问题。

SAVI过滤表项是指已生效的用于过滤IPv6报文源地址的绑定表项。SAVI过滤表项日志信息中记录了过滤表项的IPv6地址和MAC地址以及过滤表项所属的VLAN和接口,以方便管理员定位和解决问题。

生成的SAVI仿冒报文和SAVI过滤表项的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启SAVI仿冒报文的日志功能。

ipv6 savi log enable spoofing-packet [ interval interval | total-number number ] *

缺省情况下,未开启仿冒报文的日志功能。

(3)     开启SAVI过滤表项的日志功能。

ipv6 savi log enable filter-entry

缺省情况下,未开启过滤表项的日志功能。

1.10  SAVI典型配置举例

1.10.1  DHCPv6-Only场景中的SAVI配置举例

1. 组网需求

图1-1所示,在Switch上配置SAVI,满足如下用户需求:

·     DHCPv6客户端只能通过DHCPv6方式获取IPv6地址。

·     从端口HundredGigE3/0/2和HundredGigE3/0/3上收到的DHCPv6协议报文、ND协议报文(除RA、RR报文)和IPv6数据报文基于DHCPv6 Snooping绑定表项做源地址的合法性检查。

2. 组网图

图1-1 配置DHCPv6-Only场景组网图

3. 配置步骤

# 开启SAVI功能。

<Switch> system-view

[Switch] ipv6 savi strict

# 将端口HundredGigE3/0/1、HundredGigE3/0/2和HundredGigE3/0/3加入VLAN 2。

[Switch] vlan 2

[Switch-vlan2] port hundredgige 3/0/1 hundredgige 3/0/2 hundredgige 3/0/3

[Switch-vlan2] quit

# 开启DHCPv6 Snooping功能。

[Switch] ipv6 dhcp snooping enable

# 配置HundredGigE3/0/1端口为DHCPv6 Snooping信任端口。

[Switch] interface hundredgige 3/0/1

[Switch-HundredGigE3/0/1] ipv6 dhcp snooping trust

[Switch-HundredGigE3/0/1] quit

# 在端口HundredGigE3/0/2和HundredGigE3/0/3开启DHCPv6 Snooping表项记录功能。

[Switch] interface hundredgige 3/0/2

[Switch-HundredGigE3/0/2] ipv6 dhcp snooping binding record

[Switch-HundredGigE3/0/2] quit

[Switch] interface hundredgige 3/0/3

[Switch-HundredGigE3/0/3] ipv6 dhcp snooping binding record

[Switch-HundredGigE3/0/3] quit

# 开启ND Detection功能。

[Switch] vlan 2

[Switch-vlan2] ipv6 nd detection enable

[Switch-vlan2] quit

# 在端口HundredGigE3/0/2和HundredGigE3/0/3上开启IPv6接口绑定功能。

[Switch] interface hundredgige 3/0/2

[Switch-HundredGigE3/0/2] ipv6 verify source ip-address mac-address

[Switch-HundredGigE3/0/2] quit

[Switch] interface hundredgige 3/0/3

[Switch-HundredGigE3/0/3] ipv6 verify source ip-address mac-address

[Switch-HundredGigE3/0/3] quit

1.10.2  SLAAC-Only场景中的SAVI配置举例

1. 组网需求

图1-2所示,在Switch B上配置SAVI,满足如下用户需求:

·     主机只能通过无状态地址自动配置方式获取地址。

·     VLAN 2内端口收到的所有DHCPv6协议报文被丢弃。

·     从端口HundredGigE3/0/1和HundredGigE3/0/2上收到的ND协议报文和IPv6数据报文基于ND Snooping绑定表项做源地址合法性的检查。

2. 组网图

图1-2 配置SLAAC-Only场景组网图

3. 配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 将端口HundredGigE3/0/1、HundredGigE3/0/2和HundredGigE3/0/3加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port hundredgige 3/0/1 hundredgige 3/0/2 hundredgige 3/0/3

[SwitchB-vlan2] quit

# 开启VLAN 2下的全球单播类型地址的ND Snooping功能和ND Detection功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable global

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 开启DHCPv6 Snooping功能来禁止DHCPv6协议报文转发。

[SwitchB] ipv6 dhcp snooping enable

# 配置端口HundredGigE3/0/3为ND信任端口。

[SwitchB] interface hundredgige 3/0/3

[SwitchB-HundredGigE3/0/3] ipv6 nd detection trust

[SwitchB-HundredGigE3/0/3] quit

# 在端口HundredGigE3/0/1和HundredGigE3/0/2上开启IPv6接口绑定功能。

[SwitchB] interface hundredgige 3/0/1

[SwitchB-HundredGigE3/0/1] ipv6 verify source ip-address mac-address

[SwitchB-HundredGigE3/0/1] quit

[SwitchB] interface hundredgige 3/0/2

[SwitchB-HundredGigE3/0/2] ipv6 verify source ip-address mac-address

[SwitchB-HundredGigE3/0/2] quit

1.10.3  DHCPv6与SLAAC混合场景中的SAVI配置举例

1. 组网需求

图1-3所示,在Switch B上配置SAVI,满足如下用户需求:

·     主机可以通过DHCPv6方式和无状态地址自动配置方式获取地址。

·     从端口HundredGigE3/0/3、HundredGigE3/0/4和HundredGigE3/0/5上收到的DHCPv6协议报文、ND协议报文和IPv6数据报文基于DHCPv6 Snooping绑定表项和ND Snooping绑定表项做源地址合法性检查。

2. 组网图

图1-3 配置DHCPv6与SLAAC混合场景组网图

3. 配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 将端口HundredGigE3/0/1、HundredGigE3/0/2、HundredGigE3/0/3、HundredGigE3/0/4和HundredGigE3/0/5加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port hundredgige 3/0/1 hundredgige 3/0/2 hundredgige 3/0/3 hundredgige 3/0/4 hundredgige 3/0/5

# 开启DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 在端口HundredGigE3/0/3、HundredGigE3/0/4和HundredGigE3/0/5开启DHCPv6 Snooping表项记录功能。

[SwitchB] interface hundredgige 3/0/3

[SwitchB-HundredGigE3/0/3] ipv6 dhcp snooping binding record

[SwitchB-HundredGigE3/0/3] quit

[SwitchB] interface hundredgige 3/0/4

[SwitchB-HundredGigE3/0/4] ipv6 dhcp snooping binding record

[SwitchB-HundredGigE3/0/4] quit

[SwitchB] interface hundredgige 3/0/5

[SwitchB-HundredGigE3/0/5] ipv6 dhcp snooping binding record

[SwitchB-HundredGigE3/0/5] quit

# 配置端口HundredGigE3/0/1为DHCPv6 Snooping信任端口。

[SwitchB] interface hundredgige 3/0/1

[SwitchB-HundredGigE3/0/1] ipv6 dhcp snooping trust

[SwitchB-HundredGigE3/0/1] quit

#开启VLAN 2下的全球单播类型地址的ND Snooping功能和ND Detection功能。

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable global

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 配置HundredGigE3/0/2端口为ND detection信任端口。

[SwitchB] interface hundredgige 3/0/2

[SwitchB-HundredGigE3/0/2] ipv6 nd detection trust

[SwitchB-HundredGigE3/0/2] quit

# 在端口HundredGigE3/0/3、HundredGigE3/0/4和HundredGigE3/0/5上开启IPv6接口绑定功能。

[SwitchB] interface hundredgige 3/0/3

[SwitchB-HundredGigE3/0/3] ipv6 verify source ip-address mac-address

[SwitchB-HundredGigE3/0/3] quit

[SwitchB] interface hundredgige 3/0/4

[SwitchB-HundredGigE3/0/4] ipv6 verify source ip-address mac-address

[SwitchB-HundredGigE3/0/4] quit

[SwitchB] interface hundredgige 3/0/5

[SwitchB-HundredGigE3/0/5] ipv6 verify source ip-address mac-address

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们