神州数码DCN-SAVI操作手册文档
2022-10-29
来源:好走旅游网
神州数码DCN-SAVI功能操作手册 手册版本:v1.0 神州数码网络有限公司 北京市海淀区上地九街9号 100085 编制时间:2010年4月16日 神州数码DCN-SAVI功能操作手册 1 SAVI功能介绍 SAVI(Source Address Validation Improvement)功能是一种提供节点源地址粒度级的安全验证方式,它通过监听相关协议报文(如ND协议,DHCPv6协议)的交互过程,利用CPS (Control Packet Snooping)机制,提取节点可信任的信息(如端口,MAC地址等信息)即锚信息,然后将节点源地址与锚信息进行绑定,并下发绑定信息对应的过滤规则,放行匹配过滤规则的报文,丢弃不匹配过滤规则的报文,从而达到对节点源地址合法性检测的目的。 按照协议报文类型,SAVI功能主要包括:ND Snooping功能,DHCPv6 Snooping功能和RA Snooping功能;ND Snooping功能主要探测ND协议报文,主要建立节点以无状态地址配置获取的IPv6地址的绑定;DHCPv6 Snooping功能主要探测DHCPv6协议报文,主要建立节点以有状态地址自动配置过程获取的IPv6地址的绑定;RA Snooping功能主要用于防止非法节点冒充路由器发送伪造RA报文,以欺骗链路合法性节点的目的。 2 SAVI功能命令配置 SAVI功能命令主要分为:全局配置命令,端口配置命令和特权配置命令。全局配置命令主要用于SAVI四种场景全局功能的开启/关闭,以及SAVI全局配置参数的设置;端口配置命令主要用于开启/关闭用户接入验证功能,以及与端口配置参数相关的设置;特权配置命令主要用于显示SAVI调试信息和绑定表项信息。 2.1 SAVI功能全局配置命令 开启/关闭SAVI全局功能 命令 全局配置模式 savi enable no savi enable 开启/关闭slaac-only全局功能 命令 全局配置模式 savi ipv6 slaac-only enable no savi ipv6 slaac-only enable 解释 打开slaac-only场景全局功能,本命令的no操作为关闭slaac-only场景全局功能,回退到savi enable全局功能;默认为关闭slaac-only场景全局功能。 解释 打开savi全局功能,本命令的no操作为关闭savi全局功能,默认为关闭savi全局功能。 www.dcnetworks.com.cn 客服热线: 400-810-9119 2 开启/关闭dchp-only全局功能 命令 全局配置模式 savi ipv6 dhcp-only enable no savi ipv6 dhcp-only enable 解释 打开dhcp-only场景全局功能,本命令的no操作为关闭dhcp-only场景全局功能,回退到savi enable全局功能;默认为关闭dhcp-only场景全局功能。 解释 打开dhcp-slaac场景功能,本命令no操作为关闭dhcp-slaac场景全局功能,回退到savi enable全局功能;默认为关闭dhcp-slaac场景全局功能。 解释 手工配置一个静态绑定,本命令no操作为删除一个静态绑定,该命令可在savi enable,slaac-only enable,dhcp-only enable和dhcp-slaac enable任何一个全局功能下进行配置。 开启/关闭slaac-dhcp组合全局功能 命令 全局配置模式 savi ipv6 dhcp-slaac enable no savi ipv6 dhcp-slaac enable 配置SAVI 静态绑定功能 命令 全局配置模式 savi ipv6 check source binding ip
mac interface type [static ] no savi ipv6 check source binding ip interface 配置SAVI动态绑定功能 命令 全局配置模式 savi ipv6 check source binding ip mac interface type[slaac|dhcp] lifetime<1-31536000> no savi ipv6 check source binding ip interface 配置SAVI max-dad-delay全局参数 命令 全局配置模式 savi max-dad-delay<1-10> no savi max-dad-delay www.dcnetworks.com.cn 客服热线: 400-810-9119 3 解释 手工配置一个动态slaac类型或dhcp类型绑定,本命令no操作为删除一个配置的动态绑定,该命令可在savi enable,slaac-only enable,dhcp-only enable和dhcp-slaac enable任何一个全局功能下进行配置。 解释 配置SAVI绑定处于DETECTION状态最大超时时间,本命令no操作为删除配置值,采用默认值(1秒)。 配置SAVI max-dad-prepare-delay全局参数 命令 全局配置模式 savi max-dad-prepare-delay<1-10> no savi max-dad-prepare-delay 配置SAVI max-slaac-life全局参数 命令 全局配置模式 savi max-slaac-life<1-31536000> no savi max-slaac-life 配置SAVI 保护绑定的生存周期参数 命令 全局配置模式 savi timeout bind-protect <0-300> no savi timeout bind-protect 开启/关闭SAVI前缀检查功能 命令 全局配置模式 ipv6 cps prefix check enable no ipv6 cps prefix check enable 配置链路ipv6地址前缀功能 命令 全局配置模式 ipv6 cps prefix vlan no ipv6 cps prefix 解释 手工配置一条ipv6地址链路前缀,本命令no操作为删除一条配置的ipv6地址链路前缀;若启用链路ipv6地址前缀检查功能,首先配置链路本地地址前缀(fe80::/64),以放行本地链路地址的IPv6报文。 解释 配置IPv6地址过滤表项数目(注:该配置仅用于DCS-3950系列交换机);默认IPv6地址过滤表项数目为128。 解释 开启SAVI前缀检查功能,本命令no操作为关闭SAVI前缀检查功能;默认为关闭前缀检查功能。 解释 配置端口由up状态变成down状态后,对该端口绑定进行保护的生存周期,本命令no操作为删除配置值,采用默认值(30秒)。 解释 配置slaac类型绑定稳定状态的生存周期,本命令no操作为删除配置值,采用默认值(4小时)。 解释 配置SAVI绑定重新探测的最大超时时间,本命令no操作为删除配置值,采用默认值(1秒)。 配置IPv6地址过滤表项数目参数 命令 全局配置模式 user-control limit ipv6 address<1-400> www.dcnetworks.com.cn 客服热线: 400-810-9119 4 配置IPv4地址过滤表项数目参数 命令 全局配置模式 user-control limit <1-200> 配置端口扫描中断模式 命令 全局配置模式 port-scan-mode interrupt 解释 配置交换机端口扫描模式为中断模式,以提高交换机感知链路up/down的敏感度;默认为port-scan-mode poll模式。 解释 配置交换机端口扫描模式为轮询模式。 解释 配置IPv4地址过滤表项数目(注:该配置仅用于DCS-3950系列交换机);默认IPv4地址过滤表项数目为128。 配置端口扫描轮询 命令 全局配置模式 port-scan-mode poll 2.2 SAVI功能端口配置命令 开启/关闭端口用户验证功能 命令 端口配置模式 savi ipv6 check source ip-address mac-address no savi ipv6 check source 开启/关闭端口dhcp信任功能 命令 端口配置模式 ipv6 dhcp snooping trust no ipv6 dhcp snooping trust 解释 开启端口dhcp trust功能,本命令的no操作为关闭端口dhcp信任功能,端口由信任端口转变为非信任端口;默认为关闭dhcp turst功能。 解释 开启端口为slaac turst和RA trust功能,本命令的no操作为删除slaac trust和RA trust功能;默认为关闭slaac trust和RA trust信任。 5 解释 开启用户控验证功能,本命令的no操作为关闭用户验证功能;默认为关闭用户验证功能。 开启/关闭端口slaac信任功能 命令 端口配置模式 ipv6 nd snooping trust no ipv6 nd snooping trust www.dcnetworks.com.cn 客服热线: 400-810-9119 配置端口绑定数目参数 命令 端口配置模式 savi ipv6 binding num <0-65535> no savi ipv6 binding num 解释 配置端口的绑定数目,本命令的no操作为还原默认值,不限制端口下绑定数目;该端口绑定数据限制既包括静态绑定数目,也包括动态绑定数目。 2.3 SAVI功能特权配置命令 开启/关闭dhcp报文调试信息 命令 特权配置模式 debug ipv6 dhcp snooping packet no debug ipv6 dhcp snooping packet 开启/关闭dhcp绑定调试信息 命令 特权配置模式 debug ipv6 dhcp snooping binding no debug ipv6 dhcp snooping binding 开启/关闭dhcp绑定事件调试信息 命令 特权配置模式 debug ipv6 dhcp snooping event no debug ipv6 dhcp snooping event 解释 开启dhcp类型的绑定事件调试信息,本命令的no操作为关闭dhcp绑定事件调试信息;默认为关闭dhcp类型的绑定事件调试信息。 解释 开启nd报文的调试信息,本命令的no操作为关闭nd报文的调试信息;默认为关闭nd报文调试信息。 解释 开启slaac类型的绑定调试信息,本命令的no操作为关闭slaac类型的绑定调试信息;默认为关闭slaac类型的绑定调试信息。 6 解释 开启dhcp报文的调试信息,本命令的no操作为关闭dhcp报文的调试信息;默认为关闭dhcp报文调试信息。 解释 开启dhcp类型的绑定调试信息,本命令的no操作为关闭dhcp绑定调试信息;默认为关闭dhcp类型的绑定调试信息。 开启/关闭ND报文调试信息 命令 特权配置模式 debug ipv6 nd snooping packet no debug ipv6 nd snooping packet 开启/关闭slaac绑定调试信息 命令 特权配置模式 debug ipv6 nd snooping binding no debug ipv6 nd snooping binding www.dcnetworks.com.cn 客服热线: 400-810-9119 开启/关闭slaac绑定事件调试信息 命令 特权配置模式 debug ipv6 nd snooping event no debug ipv6 nd snooping event 解释 开启slaac类型的绑定事件调试信息,本命令的no操作为关闭slaac绑定事件调试信息;默认为关闭slaac类型的绑定事件调试信息。 解释 显示savi绑定表项详细信息;若省略端口选项,则显示所有端口savi绑定表项;若选择特定端口,则只显示该端口下的savi绑定信息。 显示SAVI绑定信息 命令 特权配置模式 show savi ipv6 check source binding [interface ] www.dcnetworks.com.cn 客服热线: 400-810-9119 7 3 SAVI功能应用场景典型配置 在实际工程应用中,SAVI功能一般应用在接入层交换机中,对直连链路上的用户节点进行源地址合法性检测;SAVI功能典型的应用场景主要有四种:DHCP-Only场景、Slaac-Only场景、DHCP-Slaac场景和静态绑定场景。在具体的网络环境中,用户可根据实际需求选择对应的场景。在双栈网络中,SAVI功能也可以和IPv4的DHCP snooping配合使用,同时实现IPv4和IPv6源地址验证。 SAVI功能典型的应用网络拓扑环境 DCRS-7608DCRS-5950Switch3Ethernet0/0/1Ethernet1/1DCRS-5950Switch2DCS-3950Switch1Ethernet0/0/13Ethernet1/13Client_1Client_2 其中Client_1和Client_2代表两台不同用户的PC机,每台PC机都已安装IPv6协议,直连交换机Swtich1和Swith2,直连端口分别为Ethernet0/0/13,Ethernet1/13,并开启SAVI的源地址检查功能。Swtich1和Swith2上联端口分别Ethernet0/0/1,Ethernet1/1,并开启DHCP信任和ND信任功能。汇聚交换机Switch3开启DHCPv6服务器功能和路由公告功能。 www.dcnetworks.com.cn 客服热线: 400-810-9119 8 3.1 DHCP-Only场景: 仅为DHCPv6方式获取的地址和本地链路地址建立绑定状态表项和过滤表项,并允许已绑定的DHCPv6地址和本地链路地址为源地址发送的IPv6流量通过。配置实例如下: 接入3950交换机SAVI DHCP-Only模式配置 Switch1>enable Switch1#config 全局开启SAVI功能 Switch1(config)#savi enable 配置SAVI DHCP-only模式 Switch1(config)#savi ipv6 dhcp-only enable 进入端口模式 Switch1(config)#interface ethernet0/0/1 配置dhcpv6信任端口 Switch1(config-if-ethernet0/0/1)#ipv6 dhcp snooping trust 退出端口模式 Switch1(config-if-ethernet0/0/1)#exit 进入端口范围模式 Switch1(config)#interface ethernet0/0/13-20 开启SAVI源地址检查功能 Switch1(config-if-port-range)#savi ipv6 check source ip-address mac-address 配置SAVI端口绑定数目限制功能 Switch1(config-if-port-range)#savi ipv6 binding num 4 退出端口范围模式 Switch1(config-if-port-range)#exit Switch1(config)#exit Switch1# write 接入5950交换机SAVI DHCP-Only模式配置 Switch2>enable Switch2#config 配置端口扫描模式为中断模式 Switch2(config)# port-scan-mode interrupt 全局开启SAVI功能 Switch2(config)#savi enable 配置SAVI DHCP-only模式 Switch2(config)#savi ipv6 dhcp-only enable 进入端口模式 Switch2(config)#interface ethernet1/1 配置dhcpv6信任端口 Switch2(config-if-ethernet1/1)#ipv6 dhcp snooping trust 退出端口模式 Switch2(config-if-ethernet1/1)#exit www.dcnetworks.com.cn 客服热线: 400-810-9119 9 进入端口范围模式 Switch2(config)#interface ethernet1/13-20 开启SAVI源地址检查功能 Switch2(config-if-port-range)#savi ipv6 check source ip-address mac-address 配置SAVI端口绑定数目限制功能 Switch2(config-if-port-range)#savi ipv6 binding num 4 退出端口范围模式 Switch2(config-if-port-range)#exit Switch2(config)#exit Switch2# write 汇聚5950交换机DHCPv6服务器配置和RA公告配置 Switch3>enable Switch3#config 开启DHCPv6服务全局开关 Switch3(config)#service dhcpv6 创建地址池pool1并进入地址池模式 Switch3(config)#ipv6 dhcp pool pool1 配置地址池地址可分配范围 Switch3(dhcpv6-pool1-config)#network address 2001::200 2001::400 退出地址池模式 Switch3(dhcpv6-pool1-config)#exit 进入三层vlan1模式 Switch3(config)#interface vlan1 配置三层接口地址 Switch3(config-if-vlan1)#ipv6 address 2001::1/64 使能路由公告发送功能 Switch3(config-if-vlan1)#no ipv6 nd suppress-ra 设置RA报文管理地址配置标志 Switch3(config-if-vlan1)#ipv6 nd managed-config-flag 设置RA报文其他状态配置标志 Switch3(config-if-vlan1)#ipv6 nd other-config-flag 使能DHCPv6服务器功能并绑定地址池pool1 Switch3(config-if-vlan1)#ipv6 dhcp server pool1 退出三层接口模式 Switch3(config-if-vlan1)#exit Switch3(config)#exit Switch3# write 3.2 SLAAC-Only场景: 仅为SLAAC方式获取的地址和本地链路地址建立绑定状态表项和过滤表项,并允许已绑定的SLAAC地址和本地链路地址为源地址发送的IPv6流量通过。配置实例如下: 接入3950交换机SAVI SLAAC-Only模式配置 www.dcnetworks.com.cn 客服热线: 400-810-9119 10 Switch1>enable Switch1#config 全局开启SAVI功能 Switch1(config)#savi enable 配置SAVI SLAAC-only模式 Switch1(config)#savi ipv6 slaac-only enable 进入端口模式 Switch1(config)#interface ethernet0/0/1 配置nd信任端口,包括RA报文信任 Switch1(config-if-ethernet0/0/1)#ipv6 nd snooping trust 退出端口模式 Switch1(config-if-ethernet0/0/1)#exit 进入端口范围模式 Switch1(config)#interface ethernet0/0/13-20 开启SAVI源地址检查功能 Switch1(config-if-port-range)#savi ipv6 check source ip-address mac-address 配置SAVI端口绑定数目限制功能 Switch1(config-if-port-range)#savi ipv6 binding num 4 退出端口范围模式 Switch1(config-if-port-range)#exit Switch1(config)#exit Switch1# write 接入5950交换机SAVI SLAAC-Only模式配置 Switch2>enable Switch2#config 配置端口扫描模式为中断模式 Switch2(config)# port-scan-mode interrupt 全局开启SAVI功能 Switch2(config)#savi enable 配置SAVI SLAAC-only模式 Switch2(config)#savi ipv6 slaac-only enable 进入端口模式 Switch2(config)#interface ethernet1/1 配置nd信任端口,包括RA报文信任 Switch2(config-if-ethernet1/1)#ipv6 nd snooping trust 退出端口模式 Switch2(config-if-ethernet1/1)#exit 进入端口范围模式 Switch2(config)#interface ethernet1/13-20 开启SAVI源地址检查功能 Switch2(config-if-port-range)#savi ipv6 check source ip-address mac-address 配置SAVI端口绑定数目限制功能 www.dcnetworks.com.cn 客服热线: 400-810-9119 11 Switch2(config-if-port-range)#savi ipv6 binding num 4 退出端口范围模式 Switch2(config-if-port-range)#exit Switch2(config)#exit Switch2# write 汇聚5950交换机RA公告配置 Switch3>enable Switch3#config 进入三层vlan1模式 Switch3(config)#interface vlan1 配置三层接口地址 Switch3(config-if-vlan1)#ipv6 address 2001::1/64 使能路由公告发送功能 Switch3(config-if-vlan1)#no ipv6 nd suppress-ra 设置RA报文管理地址配置标志 Switch3(config-if-vlan1)#ipv6 nd managed-config-flag 设置RA报文其他状态配置标志 Switch3(config-if-vlan1)#ipv6 nd other-config-flag 退出三层接口模式 Switch3(config-if-vlan1)#exit Switch3(config)#exit Switch3# write 3.3 DHCP-SLAAC场景: 同时为DHCP和SLAAC方式获取的地址以及本地链路地址建立绑定状态表项和过滤表项,并允许已绑定的DHCPv6、SLAAC地址以及本地链路地址为源地址发送的IPv6流量通过。配置实例如下: 接入3950交换机SAVI DHCP-SLAAC模式配置 Switch1>enable Switch1#config 全局开启SAVI功能 Switch1(config)#savi enable 配置SAVI SLAAC-DHCP模式 Switch1(config)#savi ipv6 dhcp-slaac enable 进入端口模式 Switch1(config)#interface ethernet0/0/1 配置dhcpv6信任端口 Switch1(config-if-ethernet0/0/1)#ipv6 dhcp snooping trust 配置nd信任端口,包括RA报文信任 Switch1(config-if-ethernet0/0/1)#ipv6 nd snooping trust 退出端口模式 Switch1(config-if-ethernet0/0/1)#exit 进入端口范围模式 www.dcnetworks.com.cn 客服热线: 400-810-9119 12 Switch1(config)#interface ethernet0/0/13-20 开启SAVI源地址检查功能 Switch1(config-if-port-range)#savi ipv6 check source ip-address mac-address 配置SAVI端口绑定数目限制功能 Switch1(config-if-port-range)#savi ipv6 binding num 4 退出端口范围模式 Switch1(config-if-port-range)#exit Switch1(config)#exit Switch1# write 接入5950交换机SAVI DHCP-SLAAC模式配置 Switch2>enable Switch2#config 配置端口扫描模式为中断模式 Switch2(config)# port-scan-mode interrupt 全局开启SAVI功能 Switch2(config)#savi enable 配置SAVI SLAAC-DHCP模式 Switch2(config)#savi ipv6 dhcp-slaac enable 进入端口模式 Switch2(config)#interface ethernet1/1 配置dhcpv6信任端口 Switch2(config-if-ethernet1/1)#ipv6 dhcp snooping trust 配置nd信任端口,包括RA报文信任 Switch2(config-if-ethernet1/1)#ipv6 nd snooping trust 退出端口模式 Switch2(config-if-ethernet1/1)#exit 进入端口范围模式 Switch2(config)#interface ethernet1/13-20 开启SAVI源地址检查功能 Switch2(config-if-port-range)#savi ipv6 check source ip-address mac-address 配置SAVI端口绑定数目限制功能 Switch2(config-if-port-range)#savi ipv6 binding num 4 退出端口范围模式 Switch2(config-if-port-range)#exit Switch2(config)#exit Switch2# write 汇聚5950交换机DHCPv6服务器配置和RA公告配置 Switch3>enable Switch3#config 开启DHCPv6服务全局开关 Switch3(config)#service dhcpv6 www.dcnetworks.com.cn 客服热线: 400-810-9119 13 创建地址池pool1并进入地址池模式 Switch3(config)#ipv6 dhcp pool pool1 配置地址池地址可分配范围 Switch3(dhcpv6-pool1-config)#network address 2001::200 2001::400 退出地址池模式 Switch3(dhcpv6-pool1-config)#exit 进入三层vlan1模式 Switch3(config)#interface vlan1 配置三层接口地址 Switch3(config-if-vlan1)#ipv6 address 2001::1/64 使能路由公告报文发送功能 Switch3(config-if-vlan1)#no ipv6 nd suppress-ra 设置RA报文管理地址配置标志 Switch3(config-if-vlan1)#ipv6 nd managed-config-flag 设置RA报文其他状态配置标志 Switch3(config-if-vlan1)#ipv6 nd other-config-flag 使能DHCPv6服务器功能并绑定地址池pool1 Switch3(config-if-vlan1)#ipv6 dhcp server pool1 退出三层接口模式 Switch3(config-if-vlan1)#exit Switch3(config)#exit Switch3# write 3.4 静态绑定场景 除了动态建立绑定表项外,用户也可手工配置SAVI静态绑定表项,但若只开启静态绑定场景模式,则不建立任何动态绑定表项,包括链路本地地址(fe80::/64)的绑定表项,因此为了保证链路本地地址报文通行,首先应配置链路本地地址的静态绑定表项,然后再配置全球单播地址的静态绑定表项。具体配置如下: 接入3950交换机静态绑定配置 Switch1>enable Switch1#config 全局开启SAVI功能 Switch1(config)#savi enable 配置本地链路地址的静态绑定 Switch1(config)# savi ipv6 check source binding ip fe80::2e0:4cff:fe19:3cfe mac 00-E0-4C-19-3C-5E interface Ethernet 0/0/13 type static 配置全球单播地址的静态绑定 Switch1(config)# savi ipv6 check source binding ip 2001::1 mac 00-E0-4C-19-3C-5E interface Ethernet 0/0/13 type static Switch1(config)# savi ipv6 check source binding ip 2001::2 mac 00-E0-4C-19-3C-5E interface Ethernet 0/0/13 type static 进入端口模式 Switch1(config)#interface ethernet0/0/1 配置nd信任端口 www.dcnetworks.com.cn 客服热线: 400-810-9119 14 Switch1(config-if-ethernet0/0/1)#ipv6 nd snooping trust 退出端口模式 Switch1(config-if-ethernet0/0/1)#exit 进入端口范围模式 Switch1(config)#interface ethernet0/0/13-20 开启SAVI源地址检查功能 Switch1(config-if-port-range)#savi ipv6 check source ip-address mac-address 退出端口范围模式 Switch1(config-if-port-range)#exit Switch1(config)#exit 配置保留 Switch1# write 接入5950交换机静态绑定配置 Switch2>enable Switch2#config 配置端口扫描模式为中断模式 Switch2(config)# port-scan-mode interrupt 全局开启SAVI功能 Switch2(config)#savi enable 配置本地链路地址的静态绑定 Switch1(config)# savi ipv6 check source binding ip fe80::225:64ff:febb:8f04 mac 00-25-64-BB-8F-04 interface Ethernet 1/13 type static 配置全球单播地址的静态绑定 Switch1(config)# savi ipv6 check source binding ip 2001::3 mac 00-25-64-BB-8F-04 interface Ethernet 1/13 type static Switch1(config)# savi ipv6 check source binding ip 2001::4 mac 00-25-64-BB-8F-04 interface Ethernet 1/13 type static 进入端口模式 Switch2(config)#interface ethernet1/1 配置nd信任端口 Switch2(config-if-ethernet1/1)#ipv6 nd snooping trust 退出端口模式 Switch2(config-if-ethernet1/1)#exit 进入端口范围模式 Switch2(config)#interface ethernet1/13-20 开启SAVI源地址检查功能 Switch2(config-if-port-range)#savi ipv6 check source ip-address mac-address 退出端口范围模式 Switch2(config-if-port-range)#exit Switch2(config)#exit 配置保留 Switch2# write www.dcnetworks.com.cn 客服热线: 400-810-9119 15 3.5 IPv4 DHCP SNOOPING与SAVI DHCP-SLAAC混合使用场景: 在双栈交换机上同时启用IPv4的DHCP SNOOPING和SAVI DHCP-SLAAC,分别为IPv4地址和IPv6地址建立绑定状态表项和过滤表项,并允许已绑定的IPv4地址和IPv6为源地址发送的IPv6流量通过。 对于交换机DCS-3950-52T,每个端口直连一个用户(假设每个用户最多有1个合法的IPv4地址和4个合法的IPv6地址),则IPv6地址过滤表项数目可配置为200,IPv4地址过滤表项可配置为100。具体配置实例如下: 接入3950交换机配置 Switch1>enable Switch1#config 配置IPv4地址过滤表项数目 Switch1 (config)#user-control limit 100 配置IPv6地址过滤表项数目 Switch1 (config)#user-control limit ipv6 200 全局开启SAVI功能 Switch1(config)#savi enable 配置SAVI SLAAC-DHCP模式 Switch1(config)#savi ipv6 dhcp-slaac enable 全局开启DHCP snooping功能 Switch1(config)#ip dhcp snooping enable 全局开启DHCP snooping绑定功能 Switch1(config)#ip dhcp snooping binding enable 进入端口模式 Switch1(config)#interface ethernet0/0/1 配置dhcpv6信任端口 Switch1(config-if-ethernet0/0/1)#ipv6 dhcp snooping trust 配置nd信任端口,包括RA报文信任 Switch1(config-if-ethernet0/0/1)#ipv6 nd snooping trust 配置dhcp信任端口 Switch1(config-if-ethernet0/0/1)#ip dhcp snooping trust 退出端口模式 Switch1(config-if-ethernet0/0/1)#exit 进入端口范围模式 Switch1(config)#interface ethernet0/0/13-20 开启SAVI源地址检查功能 Switch1(config-if-port-range)#savi ipv6 check source ip-address mac-address 配置SAVI端口绑定数目限制功能 Switch1(config-if-port-range)#savi ipv6 binding num 4 配置dhcp snooping源地址检查功能 Switch1(config-if-port-range)#ip dhcp snooping binding user-control 退出端口范围模式 Switch1(config-if-port-range)#exit Switch1(config)#exit Switch1# write www.dcnetworks.com.cn 客服热线: 400-810-9119 16 接入5950交换机配置 Switch2>enable Switch2#config 配置端口扫描模式为中断模式 Switch2(config)# port-scan-mode interrupt 全局开启SAVI功能 Switch2(config)#savi enable 配置SAVI SLAAC-DHCP模式 Switch2(config)#savi ipv6 dhcp-slaac enable 全局开启DHCP snooping功能 Switch2(config)#ip dhcp snooping enable 全局开启DHCP snooping绑定功能 Switch2(config)#ip dhcp snooping binding enable 进入端口模式 Switch2(config)#interface ethernet1/1 配置dhcpv6信任端口 Switch2(config-if-ethernet1/1)#ipv6 dhcp snooping trust 配置nd信任端口,包括RA报文信任 Switch2(config-if-ethernet1/1)#ipv6 nd snooping trust 配置dhcp信任端口 Switch2(config-if-ethernet1/1)#ip dhcp snooping trust 退出端口模式 Switch2(config-if-ethernet1/1)#exit 进入端口范围模式 Switch2(config)#interface ethernet1/13-20 开启SAVI源地址检查功能 Switch2(config-if-port-range)#savi ipv6 check source ip-address mac-address 配置SAVI端口绑定数目限制功能 Switch2(config-if-port-range)#savi ipv6 binding num 4 配置dhcp snooping源地址检查功能 Switch2(config-if-port-range)#ip dhcp snooping binding user-control 退出端口范围模式 Switch2(config-if-port-range)#exit Switch2(config)#exit Switch2# write 汇聚5950交换机DHCP/DHCPv6服务器配置和RA公告配置 Switch3>enable Switch3#config 开启DHCPv6服务全局开关 Switch3(config)#service dhcpv6 创建地址池pool1并进入地址池模式 www.dcnetworks.com.cn 客服热线: 400-810-9119 17 Switch3(config)#ipv6 dhcp pool pool1 配置地址池地址可分配范围 Switch3(dhcpv6-pool1-config)#network address 2001::200 2001::400 退出地址池模式 Switch3(dhcpv6-pool1-config)#exit 开启DHCP服务全局开关 Switch3(config)#service dhcp 创建地址池pool2并进入地址池模式 Switch3(config)#ip dhcp pool pool2 配置地址池地址可分配范围 Switch3(dhcpv6-pool2-config)#network address 192.168.1.100 192.168.1.200 退出地址池模式 Switch3(dhcpv6-pool2-config)#exit 进入三层vlan1模式 Switch3(config)#interface vlan1 配置三层接口地址 Switch3(config-if-vlan1)#ipv6 address 2001::1/64 Switch3(config-if-vlan1)#ip address 192.168.1.254 255.255.255.0 使能路由公告发送功能 Switch3(config-if-vlan1)#no ipv6 nd suppress-ra 设置RA报文管理地址配置标志 Switch3(config-if-vlan1)#ipv6 nd managed-config-flag 设置RA报文其他状态配置标志 Switch3(config-if-vlan1)#ipv6 nd other-config-flag 使能DHCPv6服务器功能并绑定地址池pool1 Switch3(config-if-vlan1)#ipv6 dhcp server pool1 退出三层接口模式 Switch3(config-if-vlan1)#exit Switch3(config)#exit Switch3#write 4. SAVI功能排错帮助 在确保SAVI客户机硬件、线缆等没有问题的前提下,检查可能存在的情况和建议的解决方法: 若交换机开启SAVI功能后,没有正确的过滤IPv6报文,首先检查交换机上SAVI全局功能是否已开启,若没有开启,首先开启SAVI全局功能;然后根据实际的应用场景,启用对应的SAVI场景全局功能,并同时开启端口验证功能; 若交换机开启SAVI功能后,客户端无法正确的获取上联DHCPv6服务器的分配的IPv6地址,首先检查开启交换机上联DHCPv6服务器的接口是否配置DHCP端口信任功能,若没有启用,启用DHCP端口信任功能; 若交换机开启SAVI功能后,无法建立新增用户节点的绑定,首先检查用户直连交换机端口是否配置端口绑定数目限制功能,是否绑定数目已达到最大值;若已超过端口最大绑定数目限制,建议配置较大的端口绑定数目限制; www.dcnetworks.com.cn 客服热线: 400-810-9119 18