选择区域语言: EN CN HK

07 安全配置指导

16-SAVI配置

本章节下载  (170.02 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S3110/S3110/Configure/Operation_Manual/H3C_S3110_CG-6W104/07/201810/1118873_30005_0.htm

16-SAVI配置


1 SAVI

1.1  SAVI简介

SAVI(Source Address Validation,源地址有效性验证)特性应用在接入设备上,通过ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的绑定关系表,并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。

SAVI特性可以在下列地址分配场景下使用:

·     DHCPv6-Only:和配置SAVI特性的设备连接的主机只能通过DHCPv6方式获取地址。

·     SLAAC-Only:SLAAC(Stateless Address Autoconfiguration,无状态地址自动配置),和配置SAVI特性的设备连接的主机只能通过自动地址分配方式获取地址。

·     DHCPv6与SLAAC混合:和配置SAVI特性的设备连接的主机可以通过DHCPv6方式和自动地址分配方式获取地址。

不同地址分配场景中的SAVI配置不同,下面将依次介绍SAVI的全局配置以及不同场景下的SAVI配置。

开启SAVI功能后,当接入交换机的端口down,该端口下对应用户的DHCPv6 Snooping和ND Snooping动态绑定表项不会立刻清除,而是等待一段时间后才被清除,这个时间称为SAVI绑定表项延迟时间,可以通过命令行进行配置。这样可以防止端口短暂的down/up过程被设备忽略而导致的合法IPv6地址无法正常上网的问题。

1.2  SAVI的全局配置

表1-1 SAVI的全局配置

操作

命令

说明

进入系统视图

system-view

-

开启SAVI功能,按照SAVI要求的规则对报文进行检查

ipv6 savi strict

必选

缺省情况下,SAVI功能处于关闭状态

配置SAVI绑定表项延迟时间

ipv6 savi down-delay time

可选

缺省情况下,SAVI绑定表项延迟时间为30秒

配置等待通告地址冲突的NA报文的时间

ipv6 savi dad-delay value

可选

缺省情况下,等待通告地址冲突的NA报文的时间为1秒

ND Snooping表项在detect状态下,如果超过配置的等待时间没有收到NA消息,则说明节点可以使用此IPv6地址,此时记录的ND Snooping表项可以进入bound状态

配置等待DHCPv6客户端对获取地址作冲突检测的时间

ipv6 savi dad-preparedelay value

可选

缺省情况下,等待DHCPv6客户端对获取地址作冲突检测的时间为1秒

本命令配合DHCPv6 Snooping功能使用。DHCPv6 Snooping模块在侦听到客户端获取到地址后,还会侦听客户端是否对获取到的地址作冲突检测,如果超过配置的等待时间没有侦听到客户端发送的DAD NS报文,则设备会主动替客户端发送DAD NS报文

 

1.3  DHCPv6-Only场景中的SAVI配置

1. 场景描述

图1-1 DHCPv6-Only场景示意图

 

图1-1所示的DHCPv6-Only场景下,Switch B通过以太网端口Ethernet1/0/1连接到DHCPv6服务器,通过以太网端口Ethernet1/0/2、Ethernet1/0/3连接到主机,Ethernet1/0/1、Ethernet1/0/2和Ethernet1/0/3都属于VLAN 2。主机只能通过DHCPv6方式获取IPv6地址,不能通过自动地址配置方式获取IPv6地址。在设备Switch B上配置SAVI特性后,设备Switch B只允许使用已绑定的DHCPv6方式分配的地址和链路本地地址发送的报文通过。

2. 配置思路

本场景需要在Switch B上进行下列配置:

·     开启SAVI功能。

·     使能DHCPv6 Snooping功能。DHCPv6 Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

·     使能链路本地类型地址的ND Snooping功能。ND Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

·     为了检查端口上的ND协议报文,需要在VLAN下使能ND Detection功能。ND Detection的详细介绍请参见“安全配置指导”中的“ND攻击防御”。

·     在连接主机的端口上配置IP Source Guard的IPv6静态绑定表项(本配置可选,如果不配置,检查时将不检查静态绑定表项)。IPv6静态绑定表项的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

·     在连接主机的端口上配置IP Source Guard的IPv6动态绑定功能。IPv6动态绑定功能的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

3. 报文检查原则

接入设备Switch B会对DHCPv6 client发送的DHCPv6协议报文基于链路本地类型的ND Snooping表项检查,对ND协议报文基于链路本地类型的ND Snooping表项、DHCPv6 Snooping表项和静态绑定表项检查,对连接主机的端口上收到的IPv6数据报文基于下发到端口的动态绑定表项(包括链路本地类型的ND Snooping表项、DHCPv6 Snooping表项)和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息、入端口信息。

4. 配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 全局使能DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 将端口Ethernet1/0/1、Ethernet1/0/2和Ethernet1/0/3加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port ethernet1/0/1 ethernet1/0/2 ethernet1/0/3

# 在VLAN 2内使能DHCPv6 Snooping功能。

[SwitchB-vlan2] ipv6 dhcp snooping vlan enable

[SwitchB] quit

# 配置Ethernet1/0/1端口为信任端口。

[SwitchB] interface ethernet 1/0/1

[SwitchB-Ethernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-Ethernet1/0/1] quit

# 使能本地链路类型的ND Snooping功能和ND Detection功能。

[SwitchB] ipv6 nd snooping enable link-local

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 下行端口Ethernet1/0/2和Ethernet1/0/3上启用IP Source Guard的IPv6动态绑定功能。

[SwitchB] interface ethernet 1/0/2

[SwitchB-Ethernet1/0/2] ipv6 verify source ipv6-addrress mac-address

[SwitchB-Ethernet1/0/2] quit

[SwitchB] interface ethernet 1/0/3

[SwitchB-Ethernet1/0/3] ipv6 verify source ipv6-address mac-address

[SwitchB-Ethernet1/0/3] quit

1.4  SLAAC-Only场景中的SAVI配置

1. 场景描述

图1-2 SLAAC-Only场景组网图

 

图1-2所示的SLAAC-Only场景下,用户Host A和Host B通过Switch B接入网关Switch A。主机只能通过自动地址分配方式获取IPv6地址。在设备Switch B上配置SAVI特性后,设备Switch B只允许已绑定的无状态地址自动配置方式分配的地址发送的报文通过,不允许DHCPv6方式分配的地址发送的报文通过。

2. 配置思路

本场景需要在Switch B上进行下列配置:

·     开启SAVI功能。

·     使能全球单播类型地址和链路本地类型地址的ND Snooping功能。ND Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

·     为了检查端口上的ND协议报文,需要在VLAN下使能ND Detection功能。ND Detection的详细介绍请参见“安全配置指导”中的“ND攻击防御”。

·     在连接主机的端口上配置IP Source Guard的IPv6静态绑定表项(本配置可选,如果不配置,检查时将不检查静态绑定表项)。IPv6静态绑定表项的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

·     在连接主机的端口上配置IP Source Guard的IPv6动态绑定功能。IPv6动态绑定功能的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

·     需要使能DHCPv6 Snooping功能,并且连接Gateway的端口保持默认的非trust状态,来保证主机不能通过DHCPv6方式获取到地址。DHCPv6 Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

3. 报文检查原则

接入设备Switch B会对ND协议报文基于ND Snooping表项、静态绑定表项检查,对连接主机的端口上收到的IPv6数据报文基于下发到端口的动态绑定表项(包括ND Snooping表项)和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息、入端口信息。

4. 配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 使能IPv6转发功能。

[SwitchB] ipv6

# 将端口Ethernet1/0/1、Ethernet1/0/2和Ethernet1/0/3加入VLAN 10。

[SwitchB] vlan 10

[SwitchB-vlan10] port ethernet1/0/1 ethernet1/0/2 ethernet1/0/3

[SwitchB-vlan10] quit

# 使能全球单播类型地址和链路本地类型地址的ND Snooping功能。

[SwitchB] ipv6 nd snooping enable link-local

[SwitchB] ipv6 nd snooping enable global

[SwitchB] vlan 10

[SwitchB-vlan10] ipv6 nd snooping enable

# 使能ND Detection功能。

[SwitchB-vlan10] ipv6 nd detection enable

[SwitchB-vlan10] quit

# 使能DHCPv6 Snooping功能来禁止DHCPv6协议报文转发。

[SwitchB] ipv6 dhcp snooping enable

# 将上行端口Ethernet1/0/3配置为ND信任端口。

[SwitchB] interface ethernet 1/0/3

[SwitchB-Ethernet1/0/3] ipv6 nd detection trust

[SwitchB-Ethernet1/0/3] quit

# 在下行端口Ethernet1/0/1和Ethernet1/0/2上配置IPv6动态绑定功能。

[SwitchB] interface ethernet 1/0/1

[SwitchB-Ethernet1/0/1] ipv6 verify source ipv6-address mac-address

[SwitchB-Ethernet1/0/1] quit

[SwitchB] interface ethernet 1/0/2

[SwitchB-Ethernet1/0/2] ipv6 verify source ipv6-address mac-address

[SwitchB-Ethernet1/0/2] quit

1.5  DHCPv6与SLAAC混合场景中的SAVI配置

1. 场景描述

图1-3 DHCPv6与SLAAC混合场景组网图

 

图1-3所示的在混合场景下,Switch B通过以太网端口Ethernet1/0/1连接到DHCPv6服务器,通过以太网端口Ethernet1/0/3连接到DHCPv6客户端。用户Host A和Host B通过Switch B接入网关Switch A。Switch B上Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4和Ethernet1/0/5都属于VLAN 2。主机可以通过DHCPv6方式和自动地址分配方式获取地址。在设备Switch B上配置SAVI特性后,设备Switch B将允许DHCPv6方式分配的地址和已绑定的无状态地址自动配置方式分配的地址发送的报文通过。

2. 配置思路

本场景需要在Switch B上进行下列配置:

·     开启SAVI功能。

·     使能DHCPv6 Snooping功能。DHCPv6 Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

·     使能全球单播类型地址和链路本地类型地址的ND Snooping功能。ND Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

·     为了检查端口上的ND协议报文,需要在VLAN下使能ND Detection功能。ND Detection的详细介绍请参见“安全配置指导”中的“ND攻击防御”。

·     在连接主机的端口上配置IP Source Guard的IPv6静态绑定表项(本配置可选,如果不配置,检查时将不检查静态绑定表项)。IPv6静态绑定表项的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

·     在连接主机的端口上配置IP Source Guard的IPv6动态绑定功能。IPv6动态绑定功能的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

3. 报文检查原则

接入设备Switch B会对DHCPv6 client发送的DHCPv6协议报文基于链路本地类型的ND Snooping表项检查,对ND协议报文基于ND Snooping表项、DHCPv6 Snooping表项和静态绑定表项检查,对连接主机的端口上收到的IPv6数据报文基于下发到端口的动态绑定表项(包括ND Snooping表项、DHCPv6 Snooping表项)和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息、入端口信息。

4. 配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 使能DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 将端口Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4和Ethernet1/0/5加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port ethernet 1/0/1 ethernet 1/0/2 ethernet 1/0/3 ethernet 1/0/4 ethernet 1/0/5

# 在VLAN 2内使能DHCPv6 Snooping功能。

[SwitchB-vlan2] ipv6 dhcp snooping vlan enable

[SwitchB] quit

# 配置Ethernet1/0/1端口为DHCPv6 Snooping信任端口。

[SwitchB] interface ethernet 1/0/1

[SwitchB-Ethernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-Ethernet1/0/1] quit

# 使能ND Snooping功能和ND Detection功能。

[SwitchB] ipv6 nd snooping enable link-local

[SwitchB] ipv6 nd snooping enable global

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 配置Ethernet1/0/2端口为ND detection信任端口。

[SwitchB] interface ethernet 1/0/2

[SwitchB-Ethernet1/0/2] ipv6 nd detection trust

[SwitchB-Ethernet1/0/2] quit

# 在下行端口Ethernet1/0/3、Ethernet1/0/4和Ethernet1/0/5上配置IPv6动态绑定功能。

[SwitchB] interface ethernet 1/0/3

[SwitchB-Ethernet1/0/3] ipv6 verify source ipv6-address mac-address

[SwitchB-Ethernet1/0/3] quit

[SwitchB] interface ethernet 1/0/4

[SwitchB-Ethernet1/0/4] ipv6 verify source ipv6-address mac-address

[SwitchB-Ethernet1/0/4] quit

[SwitchB] interface ethernet 1/0/5

[SwitchB-Ethernet1/0/5] ipv6 verify source ipv6-address mac-address

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!