View Source

14.1. Общие сведения о SAVI

SAVI (Source Address Validation Improvement) - технология, которая позволяет осуществлять проверку подлинности IP-адресов в пределах локальной сети и контролировать их валидность. Когда устройство начинает передавать данные через порт, где задействован функционал SAVI, протокол SAVI инициирует проверку по таблице доверенных хостов: если данный адрес ранее не был привязан ни к одному порту, SAVI создает запись соответствия. Если информация об этом адресе уже содержится в таблице, SAVI осуществляет проверку присутствия адреса на порту, информация о котором содержится в таблице. Если адрес более не отвечает на запросы, SAVI создает новую запись в таблице взамен старой.

Для корректной работы SAVI необходимо включить функцию ND Snooping, DHCPv6 Snooping или RA Snooping в соответствии с типом протокола обрабатываемого пакета.

14.2. Конфигурация SAVI

Включить функцию SAVI;
Задать метод обнаружения SAVI;
Добавить записи в таблицу SAVI;
Задать время обнаружения в таблице SAVI;
Задать время перезаписи в таблице SAVI;
Задать время жизни для записи SLAAC;
Задать время защиты записи;
Включить функцию проверки префикса;
Задать префикс CPS вручную;
Задать максимальное количество записей с одним MAC;
Настроить метод проверки при обнаружении конфликта записей;
Включить контроль проверки подлинности;
Назначить доверенный порт DHCPv6;
Назначить доверенный порт ND;
Задать максимальное количество записей SAVI для порта.

Включить функцию SAVI:

Команда

Описание

savi enable

no savi enable

! В режиме глобальной конфигурации

Включить функцию SAVI; Команда no отключает эту функцию.

2. Задать метод обнаружения SAVI:

Команда

Описание

savi ipv6 {dhcp-only | slaac-only | dhcp-slaac} enable

no savi ipv6 {dhcp-only | slaac-only | dhcp-slaac} enable

! В режиме глобальной конфигурации

Включить метод обнаружения: dhcp-only - коммутатор будет проверять только DHCPv6 пакеты и DAD NS пакеты link-local адреса с назначенным IPv6 адресом; slaac-only - проверять только не link-local DAD NS; dhcp-slaac - проверять DHCPv6 и все типы пакетов DAD NS. Команда no отключает метод обнаружения.

3. Добавить записи в таблицу SAVI

Команда

Описание

savi ipv6 check source binding ip <ipv6-address> mac <mac-address> interface <if-name> {type [slaac | dhcp] lifetime <lifetime> | type static}

no savi ipv6 check source binding ip <ipv6-address> interface <if-name>

! В режиме глобальной конфигурации

Создать запись в таблице SAVI для IP-адреса <ipv6-address>, MAC-адреса <mac-address> и интерфейса <if-name>. type [slaac | dhcp] lifetime <lifetime> создает динамическую запись выбранного типа с временем жизни в секундах <lifetime>, type static создает статическую запись. Команда no удаляет эту запись.

4. Задать время обнаружения в таблице SAVI:

Команда

Описание

savi max-dad-delay <max-dad-delay>

no savi max-dad-delay

! В режиме глобальной конфигурации

Настроить время нахождения динамической записи в состоянии DETECTION. Команда no восстанавливает значение по-умолчанию - 1 секунда.

5. Задать время перезаписи в таблице SAVI:

Команда

Описание

savi max-dad-prepare-delay <max-dad-prepare-delay>

no savi max-dad-prepare-delay

! В режиме глобальной конфигурации

Задать время повторного обнаружения динамической записи в секундах. Команда no восстанавливает значение по-умолчанию - 1 секунда.

6. Задать время жизни для записи SLAAC:

Команда

Описание

savi max-slaac-life <max-slaac-life>

no savi max-slaac-life

! В режиме глобальной конфигурации

Задать время жизни записи типа SLAAC, в секундах.Команда no восстанавливает значение по-умолчанию - 14400 секунд (4 часа).

7. Задать время защиты записи:

Команда

Описание

savi timeout bind-protect <protect-time>

no savi timeout bind-protect

! В режиме глобальной конфигурации

Задать время хранения записи в таблице SAVI после обнаружения перехода порта в состояние DOWN. Команда no восстанавливает значение по-умолчанию - 30 секунд.

8. Включить функцию проверки префикса:

Команда

Описание

ipv6 cps prefix check enable

no ipv6 cps prefix check enable

! В режиме глобальной конфигурации

Включить функцию проверки соответствия префикса адреса заданному префиксу vlan. Команда no отключает эту функцию.

9. Задать префикс CPS вручную:

Команда

Описание

ipv6 cps prefix <ip-address> vlan <vid>

no ipv6 cps prefix <ip-address>

! В режиме глобальной конфигурации

Задать префикс для vlan вручную. Команда no удаляет эту запись.

10. Задать максимальное количество записей с одним MAC:

Команда

Описание

savi ipv6 mac-binding-limit <limit-num>

no savi ipv6 mac-binding-limit

! В режиме глобальной конфигурации

Задать максимальное количество записей в таблице SAV c одним MAC адресом. Команда no восстанавливает значение по-умолчанию - 32 записи.

11. Настроить метод проверки при обнаружении конфликта записей:

Команда

Описание

savi check binding <simple | probe> mode

no savi check binding mode

! В режиме глобальной конфигурации

Задать метод проверки существующей записи если присутствует конфликт в вновь создаваемой: simple - проверить только состояние порта; probe - отправить NS пакет.

12. Включить контроль проверки подлинности для double-stack:

Команда

Описание

savi ipv6 check source [ipv6-address mac-address | ipv4-address | mac-address]

no savi ipv6 check source

! В режиме конфигурации интерфейса

Включить функцию контроля проверки подлинности пользователя для double-stack сети, создать запись в таблице. Команда no отключает эту функцию. .

13. Назначить доверенный порт DHCPv6:

Команда

Описание

ipv6 dhcp snooping trust

no ipv6 dhcp snooping trust

! В режиме конфигурации интерфейса

Назначить доверенный порт DHCPv6 Snooping. Команда no назначает порт как недоверенный.

14. Назначить доверенный порт ND:

Команда

Описание

ipv6 nd snooping trust

no ipv6 nd snooping trust

! В режиме конфигурации интерфейса

Назначить доверенный порт ND Snooping. Команда no назначает порт как недоверенный.

15. Задать максимальное количество записей SAVI для порта:

Команда

Описание

savi ipv6 binding num <limit-num>

no savi ipv6 binding num

! В режиме конфигурации интерфейса

Задать лимит записей SAVI для порта; Команда no восстанавливает значение по-умолчанию - 65535 записей.

14.3. Пример конфигурации SAVI

На рабочих станциях ПК1 и ПК2, которые подключены к портам коммутатора доступа “Switch” Ethernet1/0/12 и Ethernet1/0/13 соответственно, установлен IPv6 протокол. На коммутаторе включена функция SAVI. Порты Ethernet1/0/1 магистральный порт коммутатора, поэтому него необходимо назначить доверенным для протоколов DHCPv6 и ND. На коммутаторе агрегации “Switch_Aggr” запущен DHCPv6 сервер и включена функция RA.

Конфигурация коммутатора доступа будет выглядеть следующим образом:

Switch(config)#savi enable
Switch(config)#savi ipv6 dhcp-slaac enable
Switch(config)#savi check binding probe mode
Switch(config)#interface ethernet1/0/1
Switch(config-if-ethernet1/0/1)#ipv6 dhcp snooping trust
Switch(config-if-ethernet1/0/1)#ipv6 nd snooping trust
Switch(config-if-ethernet1/0/1)#exit
Switch(config)#interface ethernet1/0/12-13
Switch(config-if-port-range)#savi ipv6 check source ip-address mac-address
Switch(config-if-port-range)#savi ipv6 binding num 4
Switch(config-if-port-range)#exit

14.4. Решение проблем при конфигурации SAVI

Если после включения SAVI IPv6 пакеты фильтруются некорректно, удостоверьтесь, что функция SAVI включена глобально, выбрана верный метод обнаружения и/или проверка подлинности пользователя на порту включена;
Если пользователи не могут корректно получить адрес через DHCPv6, удостоверьтесь, что порт в сторону DHCPv6 сервера назначен как доверенный;
Если новый пользователь не может быть добавлен в таблицу SAVI, убедитесь, что количество записей в таблице (как для MAC, так и для порта) не достигло максимального значения.