SAVI简介(Source Address Validation,源地址有效性验证

SAVI简介(Source Address Validation,源地址有效性验证


SAVI(Source Address Validation,源地址有效性验证)特性应用在接入设备上,通过ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的绑定关系表,并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。
SAVI特性可以在下列地址分配场景下使用:
(1)DHCPv6-Only:和配置SAVI特性的设备连接的主机只能通过DHCPv6方式获取地址。
(2)SLAAC-Only:SLAAC(Stateless Address Autoconfiguration,无状态地址自动配置),和配置SAVI特性的设备连接的主机只能通过自动地址分配方式获取地址。
(3)DHCPv6与SLAAC混合:和配置SAVI特性的设备连接的主机可以通过DHCPv6方式和自动地址分配方式获取地址。
不同地址分配场景中的SAVI配置不同,下面将依次介绍SAVI的全局配置以及不同场景下的SAVI配置。
开启SAVI功能后,当接入交换机的端口down,该端口下对应用户的DHCPv6 Snooping和ND Snooping动态绑定表项不会立刻清除,而是等待一段时间后才被清除,这个时间称为SAVI绑定表项延迟时间,可以通过命令行进行配置。这样可以防止端口短暂的down/up过程被设备忽略而导致的合法IPv6地址无法正常上网的问题。


SAVI概述
设备通过侦听(Snooping)各种地址分配方式的控制报文建立地址和端口的绑定关系表,对于从相应端口接收到的ND协议报文、DHCPv6协议报文和IPv6数据报文,根据其源地址是否能匹配绑定关系表来确定报文是否合法,合法报文则正常转发,非法报文则丢弃,从而防止非法报文形成攻击。
SAVI功能可以在下列地址分配场景下使用:
DHCPv6-Only:和配置SAVI功能的设备连接的主机只能通过DHCPv6方式获取地址。
SLAAC-Only(Stateless Address Autoconfiguration,无状态地址自动配置):和配置SAVI功能的设备连接的主机只能通过自动地址分配方式获取地址。
DHCPv6与SLAAC混合:和配置SAVI功能的设备连接的主机可以通过DHCPv6方式和自动地址分配方式获取地址。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » SAVI简介(Source Address Validation,源地址有效性验证

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!