神州數码DCN-SAVI操作手册文档.docVIP

神州数码DCN-SAVI功能操作手册 手册版本：v1.0 神州数码网络有限公司 北京市海淀区上地九街9号 100085 编制时间：2010年4月16日 神州数码DCN-SAVI功能操作手册 1 SAVI功能介绍 SAVI(Source Address Validation Improvement)功能是一种提供节点源地址粒度级的安全验证方式，它通过监听相关协议报文(如ND协议，DHCPv6协议)的交互过程，利用CPS (Control Packet Snooping)机制，提取节点可信任的信息(如端口，MAC地址等信息)即锚信息，然后将节点源地址与锚信息进行绑定，并下发绑定信息对应的过滤规则，放行匹配过滤规则的报文，丢弃不匹配过滤规则的报文，从而达到对节点源地址合法性检测的目的。 按照协议报文类型，SAVI功能主要包括：ND Snooping功能，DHCPv6 Snooping功能和RA Snooping功能；ND Snooping功能主要探测ND协议报文，主要建立节点以无状态地址配置获取的IPv6地址的绑定；DHCPv6 Snooping功能主要探测DHCPv6协议报文，主要建立节点以有状态地址自动配置过程获取的IPv6地址的绑定；RA Snooping功能主要用于防止非法节点冒充路由器发送伪造RA报文，以欺骗