神州数码DCN交换机 SAVI相关功能配置
目录
SAVI功能简介
一、SAVI技术简介
二、SAVI技术原理
1.SAVI原理
2.NDP Snooping功能
3.DHCPv6 Snooping功能
SAVI DHCP-Only模式典型配置
一、组网说明
二、组网图
三、配置步骤
四、注意事项
SAVI SLAAC-Only模式典型配置
一、组网说明
二、组网图
三、配置步骤
四、注意事项
SAVI DHCP-SLAAC模式典型配置
一、组网说明
二、组网图
三、配置步骤
四、注意事项
SAVI功能简介
一、SAVI技术简介
通常说IPv6比IPv4更安全,这种观点来源于IPv6最初的定义(RFC2401)对IPSec的强制使用,由于这种观点的存在促进了IPv6得到应用。虽然这种强制IPSec的特征阻挡了一些攻击的入侵之机,但是IPv6并不是万能的,各种攻击漏洞也必定存在,特别是IPv6在许多特性上与IPv4存在共同之处,许多在IPv4上存在的攻击特性像ARP攻击在IPv6中也会存在类似的攻击。作为国内IPv6技术最先进的厂商,神州数码网络公司的路由交换机提供了多种IPv6安全防范技术:IPv6 SAVI技术、基于NDP的安全技术、基于IPv6路由的安全技术、基于IPv6三层以上的访问控制的安全技术、IPv6受控组播技术(分专题呈现)。通过这些技术,可以保障部署安全可靠的IPv6园区网。
随着互联网技术的迅速发展,安全问题日益严重,而问题的根源大多是与非法主机接入有关,针对IPv4、IPv6主机的安全合法接入问题,清华大学于2009年4月提出SAVI源址合法性检验 rfc草案,该草案主要讲述了ipv4/ipv6的CPS(Control Packet Snooping)原理,根据CPS原理在接入设备(交换机、AP)上建立基于源地址的绑定关系,从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。
神州数码网络公司与清华大学紧密合作,从该草案设计之初就密切跟踪其进展,根据草案进展逐步开发相应的功能配合清华大学测试,目前神州数码DCS-3950、DCRS-5950系列交换机支持SAVI草案中涉及的所有功能,可全面保证终端设备的安全接入。2009年7月在瑞典召开的IETF会议上,清华大学对比了各业界主流厂商接入设备对该草案涉及功能的支持情况,最终选择了神州数码的两台DCS-3950-28CT设备与一台DCRS-5950-28T设备做功能演示。
二、SAVI技术原理
1.SAVI原理
CPS对于客户端是透明的,在客户端没有任何变化,也没有新增任何协议,所涉及的内容都是根据已有的协议操作流程,在接入设备上建立绑定关系,这种绑定关系一般都是临时的,有生存期,也有一些事件可以触发接入设备解除具体的绑定关系。
CPS绑定关系的建立是以重复地址检测为基础的( ipv4的gratuitous ARP报文,ipv6的DAD NS报文),如果主机使用没有进行重复检测的地址作为源地址来发送报文,则接入设备应将该报文作为欺骗报文来处理。接入设备根据客户端发出重复地址检测报文后在一定时间内没有收到应答报文而在接入端建立基于源地址的绑定关系,绑定关系建立后,从相应的端口收到的数据报文,根据其源地址是否在端口绑定关系表中有匹配来确定报文是否合法,从而对合法报文正常转发,非法报文则丢弃。
SAVI草案中关于IPv4的主机合法接入主要包括了ARP snooping与DHCP snooping两部分的内容,这部分内容请参考《高校校园网ARP攻击防御解决方案》;关于IPv6的主机合法接入主要包括了NDP snooping与DHCPv6 snooping两部分的内容,下面分别介绍。
2.NDP Snooping功能
NDP snooping利用Control Packet Snooping(CPS)机制,通过源IPv6地址和锚信息绑定的方式,对端口接入报文进行合法性检测,放行匹配绑定的报文,丢弃不匹配的报文,以达到对直连链路节点准入控制的目的。
全局启用NDP snooping功能,交换机所有端口上均可建立NDP snooping绑定,但不下硬件表项(即准入控制表项)。
端口上启用NDP snooping功能时,该端口上初始化拒绝所有ipv6报文(除了源地址为本地链路地址的IPv6报文和NS/NA报文)。当该端口上根据DAD NS报文建立一个状态为SAC_BOUND的NDP snooping绑定时,则下发一个(IPv6 address,MAC,Port Name,VLAN ID)四元组的准入控制表项,允许符合规则的IPv6报文通过。
关闭端口的NDP snooping功能时,不删除上层绑定表项,只删除下发的准入控制表项;关闭全局的NDP snooping功能时,删除所有的上层绑定表项,同时删除下发的所有准入控制表项。
如下图所示,NDP snooping功能启在接入交换机S2上,端口Ethernet0/0/27拒绝转发所有IPv6数据流量,汇聚交换机S1配置无状态地址自动配置协议,公告前缀2001::/64。当客户主机PC接收到来自S1的RA公告后,通过无状态地址自动配置协议自动获取前缀为2001::/64的IPv6地址,地址生成后会先发送DAD NS报文,探测在当前链路上该IPv地址是否可用。客户主机若收到DAD NA回应表示该地址不可用,反之表示可用。接入交换机S2当收到来自客户主机的DAD NS后,会为该主机建立NDP snooping绑定,在规定时间内若未探测到回应的DAD NA报文,则根据该NDP snooping绑定下发驱动表项,允许转发该源地址的IPv6报文,从而达到客户主机IPv6流量的控制接入目的。
3.DHCPv6 Snooping功能
在用户不需要认证和使用DHCPv6方式获取IPv6地址的环境之下,可以独立使用DHCPv6 SNOOPING在交换机上绑定用户,用户的(ipv6 address, mac, port)绑定信息可以是通过DHCPv6 SNOOPING在用户动态获取地址的过程中获得。接入主机获取动态地址之前只能访问DHCP SERVER和使用本地链路地址fe80::/10访问本地资源;获取动态全球单播地址之后可以访问所有资源。在这种模式下,接入交换机能够严格控制接入主机的报文,只有完全匹配IPv6 address、MAC、PORT的IPv6报文和本地链路报文才允许转发,可以对用户的源地址进行性有效控制,禁止用户私自配置地址而访问网络。
如下图所示,DHCPv6 snooping功能启在接入交换机上,接入交换机配置上联DHCPv6 snooping信任端口,上联DHCPv6服务器,下联客户主机。接入交换机的DHCPv6 snooping功能会监控客户机的DHCPv6协议行为,为完成DHCPv6协议流程而获取的IPv6地址建立绑定项,并下发驱动表项,允许转发该源地址的IPv6报文,从而达到客户主机IPv6流量的控制接入目的。
SAVI DHCP-Only模式典型配置
一、组网说明
网络中存在DHCPv6 Server,在接入交换机上配置SAVI功能,模式为DHCP-Only。自动绑定接入交换机下通过DHCPv6方式获得IPv6地址的的信息。
二、组网图
三、配置步骤
DHCPv6 server的配置(略,见手册DHCPv6 Server配置部分)
SAVI-DHCP-Only的配置
#全局开启SAVI功能,配置为DHCP-Only模式
Switch(config)#savi enable
Switch(config)#savi ipv6 dhcp-only enable
#进入端口模式,配置dhcpv6信任端口
Switch(config)#interface ethernet 1/24
Switch(config-if-ethernet1/24)#ipv6 dhcp snooping trust
Switch(config-if-ethernet1/24)#exit
#配置下联端口的源地址检查,并配置SAVI端口绑定数目限制功能
Switch(config)#interface ethernet 1/2
Switch(config-if-ethernet1/2)#savi ipv6 check source ip-address mac-address
Switch(config-if-ethernet1/2)#savi ipv6 binding num 4
Switch(config-if-ethernet1/2)#exit
四、注意事项
1.开启SAVI功能会占用设备ACL表项,具体型号的设备是否支持SAVI功能,可绑定多少用户请咨询400-810-9119
2.使用DHCP-Only模式时,一台PC会绑定两条表项(1条本地链路地址,1条DHCPv6获得的地址)
SAVI SLAAC-Only模式典型配置
一、组网说明
在接入层交换机上启动SAVI功能,模式为SLAAC方式(只绑定根据路由器公告,PC机自动生成的无状态地址)
二、组网图
三、配置步骤
SAVI-SLAAC-Only的配置
#全局开启SAVI功能,配置为SLAAC-Only模式
Switch(config)#savi enable
Switch(config)#savi ipv6 slaac-only enable
#进入端口模式,配置ND信任端口
Switch(config)#interface ethernet 1/24
Switch(config-if-ethernet1/24)#ipv6 nd snooping trust
Switch(config-if-ethernet1/24)#exit
#配置下联端口的源地址检查,并配置SAVI端口绑定数目限制功能
Switch(config)#interface ethernet 1/2
Switch(config-if-ethernet1/2)#savi ipv6 check source ip-address mac-address
Switch(config-if-ethernet1/2)#savi ipv6 binding num 4
Switch(config-if-ethernet1/2)#exit
四、注意事项
1.开启SAVI功能会占用设备ACL表项,具体型号的设备是否支持SAVI功能,可绑定多少用户请咨询400-810-9119
2.使用SLAAC-Only模式时,一台PC会绑定三到四条表项
SAVI DHCP-SLAAC模式典型配置
一、组网说明
在接入层交换机上配置SAVI功能,模式为DHCP-SLAAC模式。既绑定DHCPv6获得的IP地址也绑定通过路由器公告PC机自己生成的IPv6地址。
二、组网图
三、配置步骤
SAVI-DHCP-SLAAC的配置
#全局开启SAVI功能,配置为DHCP-SLAAC模式
Switch(config)#savi enable
Switch(config)#savi ipv6 dhcp-slaac enable
#进入端口模式,配置信任端口
Switch(config)#interface ethernet 1/24
Switch(config-if-ethernet1/24)#ipv6 dhcp snooping trust
Switch(config-if-ethernet1/24)#ipv6 nd snooping trust
Switch(config-if-ethernet1/24)#exit
#配置下联端口的源地址检查,并配置SAVI端口绑定数目限制功能
Switch(config)#interface ethernet 1/2
Switch(config-if-ethernet1/2)#savi ipv6 check source ip-address mac-address
Switch(config-if-ethernet1/2)#savi ipv6 binding num 4
Switch(config-if-ethernet1/2)#exit
四、注意事项
1.开启SAVI功能会占用设备ACL表项,具体型号的设备是否支持SAVI功能,可绑定多少用户请咨询400-810-9119
2.使用DHCP-SLAAC模式时,和之前两种模式相比,一台PC机会占用更多的表项
神州数码DCN交换机 SAVI相关功能配置相关推荐
- 神州数码DCN交换机 DHCP相关功能配置
目录 交换机DHCP Server典型配置 一.组网说明 二.组网图 三.配置步骤 四.注意事项 交换机DHCP Relay典型配置 一.组网说明 二.组网图 三.配置步骤 四.注意事项 交换机DHC ...
- 神州数码DCN交换机 端口功能配置-端口基本功能配置
目录 交换机端口和链路类型描述 一.交换机端口类型介绍 二.不同的端口类型在收发报文时的处理 交换机Trunk端口典型配置 一.组网说明 二.组网图 三.配置步骤 四.注意事项 交换机Hybrid端口 ...
- 神州数码DCN交换机远程登录
开启telnet服务 Telne-server enabled 配置本地用户和密码 Username DCN prlivlege 3 password DCN 3.本地登陆认证 Authenticat ...
- STM8L相关功能配置
最近搞了搞STM8L系列的板子,感觉有些地方和S系列的不太一样,简单总结了相关外设的配置方法,相关的驱动都是可以运行的,详细内容如下 RCC时钟 概述: 系统时钟有四个时钟源,高速外部,高速内部,低速 ...
- dhcp snooping华为_华为交换机dhcp snooping 功能配置
华为核心交换机:S5720S-36C-EI-AC 管理IP:172.30.5.1 华为桌面交换机:S5700S-52P-LI-AC 管理IP:172.30.5.10 核心交换机24聚合与桌面交换机47 ...
- Linux下PHOEBUS的编译及相关功能配置
前言 Phoebus是一个框架和一系列工具,用于监视和操作大规模控制系统,例如加速器社区中的系统.phoebus是控制系统工作室工具集的更新,它消除了Eclipse RCP和SWT的依赖性 1. 下载 ...
- 神州数码:三大业务全线增长,多措并举塑造新优势
2020年,整个IT行业中流行两个关键词,在中文搜索结果中都上亿个. 云计算,已经深入到了百行百业,逐渐成为了数字经济发展的基石. 信创,从提出到构建产业格局,覆盖从芯片到整机到系统到软件到云的生态链 ...
- 神州数码否认买下华为荣耀,股价连续第二日涨停,创历史新高!
11月11日消息,神州数码早间发布公告称,截至本公告披露日,神州数码与华为未就荣耀出售一事达成任何协议. 神州数码公司在公告中表示,公司关注到,11月10日,部分媒体以"华为计划以1000亿 ...
- 神州数码交换机HYBRID端口配置
交换机Hybrid端口典型配置 组网说明 三台PC机使用同一个地址段,但在交换机上需要使用Hybrid端口实现以下功能: 1.PC 1可以访问到PC 2和PC 3 ...
最新文章
- NeurIPS 2021 | 寻找用于变分布泛化的隐式因果因子
- 初学者如何选出最适合自己深度学习框架?
- Class.forName有什么作用
- css实现让页面的footer始终位于底部
- Python嵌套列表解析式(又称列表推导式)写法剖析与应用举例
- html键盘制作,HTML手写键盘(一)
- 简单工厂模式+工厂方法模式
- 10-20-030-简介-Kafka Briker IO
- php如何循环输出图片,thinkphp 循环显示图片问题!!!~~~~
- 实现CentOS 中的单窗口打开文件夹
- Java 8 时间日期库的20个使用演示样例
- 一个页面上有大量的图片,加载很慢,你有哪些方法优化这些图片的加载?
- spring mvc综合easyui点击上面菜单栏中的菜单项问题
- 命令行进入android设置,命令行编译生成APK
- 2018年英语计算机职称考试,2018年高级职称计算机考试内容介绍
- 数据分析【实践】——AB测试的应用、案例及关键点
- 奔驰4-MATIC和奥迪quattro的区别和共同点是什么(杂记)
- 移动通信网络的构成思维导图
- 社会性动物(艾略特•阿伦森)
- 移植u-boot到stm32f407