用神州数码dcn-savi操作手册文档.docVIP

神州数码DCN-SAVI功能操作手册 手册版本：v1.0 神州数码网络有限公司 北京市海淀区上地九街9号 100085 编制时间：2010年4月16日 神州数码DCN-SAVI功能操作手册 1 SAVI功能介绍 SAVI(Source Address Validation Improvement)功能是一种提供节点源地址粒度级的安全验证方式，它通过监听相关协议报文(如ND协议，DHCPv6协议)的交互过程，利用CPS (Control Packet Snooping)机制，提取节点可信任的信息(如端口，MAC地址等信息)即锚信息，然后将节点源地址与锚信息进行绑定，并下发绑定信息对应的过滤规则，放行匹配过滤规则的报文，丢弃不匹配过滤规则的报文，从而达到对节点源地址合法性检测的目的。 按照协议报文类型，SAVI功能主要包括：ND Snooping功能，DHCPv6 Snooping功能和RA Snooping功能；ND Snooping功能主要探测ND协议报文，主要建立节点以无状态地址配置获取的IPv6地址的绑定；DHCPv6 Snooping功能主要探测DHCPv6协议报文，主要建立节点以有状态地址自动配置过程获取的IPv6地址的绑定；RA Snooping功能主要用于防止非法节点冒充路由器发送伪造RA报文，以欺骗链路合法性节点的目的。 2 SAVI功能命令配置 SAVI功能命令主要分为：全局配置命令，端口配置命令和特权配置命令。全局配置命令主要用于SAVI四种场景全局功能的开启/关闭，以及SAVI全局配置参数的设置；端口配置命令主要用于开启/关闭用户接入验证功能，以及与端口配置参数相关的设置；特权配置命令主要用于显示SAVI调试信息和绑定表项信息。 2.1 SAVI功能全局配置命令 开启/关闭SAVI全局功能 命令 解释 全局配置模式 savi enable no savi enable 打开savi全局功能，本命令的no操作为关闭savi全局功能，默认为关闭savi全局功能。 开启/关闭slaac-only全局功能 命令 解释 全局配置模式 savi ipv6 slaac-only enable no savi ipv6 slaac-only enable 打开slaac-only场景全局功能，本命令的no操作为关闭slaac-only场景全局功能，回退到savi enable全局功能；默认为关闭slaac-only场景全局功能。 开启/关闭dchp-only全局功能 命令 解释 全局配置模式 savi ipv6 dhcp-only enable no savi ipv6 dhcp-only enable 打开dhcp-only场景全局功能，本命令的no操作为关闭dhcp-only场景全局功能，回退到savi enable全局功能；默认为关闭dhcp-only场景全局功能。 开启/关闭slaac-dhcp组合全局功能 命令 解释 全局配置模式 savi ipv6 dhcp-slaac enable no savi ipv6 dhcp-slaac enable 打开dhcp-slaac场景功能，本命令no操作为关闭dhcp-slaac场景全局功能，回退到savi enable全局功能；默认为关闭dhcp-slaac场景全局功能。 配置SAVI 静态绑定功能 命令 解释 全局配置模式 savi ipv6 check source binding ip X:X::X:X mac FF-FF-FF-FF-FF-FF interface ethernet WORD|WORD type [static ] no savi ipv6 check source binding ip X:X::X:Xinterface ethernet WORD|WORD 手工配置一个静态绑定，本命令no操作为删除一个静态绑定，该命令可在savi enable，slaac-only enable，dhcp-only enable和dhcp-slaac enable任何一个全局功能下进行配置。 配置SAVI动态绑定功能 命令 解释 全局配置模式 savi ipv6 check source binding ip X:X::X:X mac FF-FF-FF-FF-FF-FF interface ethernet WORD|WORD type[slaac|dhcp] lifetime1no savi ipv6 check source binding ip X:X::X:Xinterface ethernet W