华为:DHCPv6与SLAAC混合场景下配置SAVI功能示例
华为:DHCPv6与SLAAC混合场景下配置SAVI功能示例
组网需求
如图所示,企业某部门使用SwitchA作为直接连接用户主机的设备。该部门部分主机通过无状态地址自动配置方式获取IPv6地址,部分主机通过DHCPv6方式获取IPv6地址。如果存在攻击者发送大量非法的ND协议报文、DHCPv6协议报文或IPv6数据报文,将会存在合法用户主机通信中断、用户帐号口令被盗用等一系列安全隐患。为了预防这种情况,管理员希望通过在SwitchA上进行配置,对非法的ND协议报文、DHCPv6协议报文和IPv6数据报文(源地址非法)进行有效防范,为合法用户提供更安全的网络环境和更稳定的网络服务。
图:DHCPv6与SLAAC混合场景下配置SAVI功能示例组网图
配置思路
在用户主机上线之前,采用如下思路在SwitchA上进行配置:
(1)配置DHCPv6 Snooping功能,以便生成地址和端口的绑定关系表,用于后续的DHCPv6报文和IPv6数据报文源地址合法性检查。
(2)配置ND Snooping功能,以便生成地址和端口的绑定关系表,用于后续的ND协议报文和IPv6数据报文源地址合法性检查。
(3)使能SAVI功能,使设备根据绑定关系表对DHCPv6协议报文和ND协议报文进行源地址合法性检查,过滤非法协议报文。
(4)使能IP Source Guard功能,使设备根据绑定关系表对IPv6数据报文进行源地址合法性检查,过滤非法IPv6数据报文。
操作步骤
(1)使能SAVI功能
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] savi enable
(2)创建VLAN2
[SwitchA] vlan batch 2
(3)将接口GE0/0/1、GE0/0/2、GE0/0/3加入到VLAN2中
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type access
[SwitchA-GigabitEthernet0/0/1] port default vlan 2
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type access
[SwitchA-GigabitEthernet0/0/2] port default vlan 2
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] port link-type trunk
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 2
[SwitchA-GigabitEthernet0/0/3] quit
(4)配置DHCPv6 Snooping功能
# 全局使能DHCPv6 Snooping功能。
[SwitchA] dhcp enable
[SwitchA] dhcp snooping enable
# 在VLAN2内使能DHCPv6 Snooping功能。
[SwitchA] vlan 2
[SwitchA-vlan2] dhcp snooping enable
# 在VLAN2内使能DHCPv6协议报文的绑定表匹配检查功能。
[SwitchA-vlan2] dhcp snooping check dhcp-request enable
[SwitchA-vlan2] quit
# 配置接口GE0/0/3为DHCP Snooping信任接口。
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] dhcp snooping trusted
[SwitchA-GigabitEthernet0/0/3] quit
(5)配置ND Snooping功能
# 全局使能ND Snooping功能。
[SwitchA] nd snooping enable
# 在VLAN2内使能ND Snooping功能。
[SwitchA] vlan 2
[SwitchA-vlan2] nd snooping enable
# 在VLAN2内使能对NA报文和NS报文进行合法性检查功能。
[SwitchA-vlan2] nd snooping check na enable
[SwitchA-vlan2] nd snooping check ns enable
[SwitchA-vlan2] quit
# 配置接口GE0/0/3为ND Snooping信任接口。
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] nd snooping trusted
[SwitchA-GigabitEthernet0/0/3] quit
(6)在VLAN2内使能IP Source Guard功能
[SwitchA] vlan 2
[SwitchA-vlan2] ip source check user-bind enable
[SwitchA-vlan2] quit
(7)验证配置结果
# 在系统视图下执行display this命令可以看到全局已经使能SAVI功能、DHCPv6 Snooping功能和ND Snooping功能。
[SwitchA] display this
...
#
dhcp enable
#
dhcp snooping enable
#
nd snooping enable
savi enable
#
...
# 在VLAN视图下执行display this命令可以看到VLAN2下已经使能DHCPv6 Snooping功能、DHCPv6协议报文绑定表匹配检查功能、ND Snooping功能、ND协议报文合法性检查功能以及IP Source Guard功能。
[SwitchA] vlan 2
[SwitchA-vlan2] display this
#
vlan 2
dhcp snooping enable
dhcp snooping check dhcp-request enable
nd snooping enable
nd snooping check ns enable
nd snooping check na enable
ipv4 source check user-bind enable
ipv6 source check user-bind enable
#
return
[SwitchA-vlan2] quit
# 在接口视图下执行display this命令可以看到接口GE0/0/3已经配置为DHCP Snooping信任接口和ND Snooping信任接口。
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] display this
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 2
dhcp snooping trusted
nd snooping trusted
#
return
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为:DHCPv6与SLAAC混合场景下配置SAVI功能示例
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm