SAVI配源地址有效性驗證SAVI（SourceAddressValidationImprovements）功能應(yīng)用在接入設(shè)備上，設(shè)備根據(jù)NDSnoo功能、DHCPv6Snoo功能建立起的地址和端口的綁定濾檢查。其中IPv6數(shù)據(jù)報文的過濾檢查需結(jié)合IPSourceGuard功能實現(xiàn)。配置SAVI源地址有效性驗證SAVI（SourceAddressValidationImprovements）功能應(yīng)用在接入設(shè)備上，設(shè)備根據(jù)NDSnoo功能、DHCPv6Snoo功能建立起的地址和端口的綁定濾檢查。其中IPv6數(shù)據(jù)報文的過濾檢查需結(jié)合IPSourceGuard功能實現(xiàn)。 SLAAC-Only（StaessAddressAutoconfiguration，無狀態(tài)地址自動配置）：和配 涉及網(wǎng)元License版本支持系產(chǎn)支持版本系產(chǎn)支持版本系產(chǎn)支持版本說明特性依賴和限制 如果希望過濾IPv6數(shù)據(jù)報文，請使能NDSnoo、DHCPv6snoo和IPSourceGuard功能。 如果希望過濾ND協(xié)議報文，還需使能 配置ND協(xié)議報文檢查 如果希望過濾DHCPv6協(xié)議報文，還需使能9.7.3配置防止仿冒DHCP報文攻SAVI的缺省配置如表13-2參缺省22 前置任務(wù)

如果希望過濾IPv6數(shù)據(jù)報文，請使能NDSnoo、DHCPv6snoo和IPSourceGuard功能。 如果希望過濾ND協(xié)議報文，還需使能 配置ND協(xié)議報文檢查 如果希望過濾DHCPv6協(xié)議報文，還需使能9.7.3配置防止仿冒DHCP報文攻SAVI背景信息

操作步驟步驟1執(zhí)行命令system-view，進入系統(tǒng)視圖。步驟2執(zhí)行命令savienable，使能SAVI功能。----結(jié)束（可選）配置接口允許學(xué)習(xí) 綁定表項的最大個背景信息

SAVI綁定表是NDSnoo綁定表和DHCPv6Snoo綁定表的集合，當(dāng)接口下ND操作步驟

步驟1執(zhí)行命令system-view步驟2執(zhí)行命令interfaceinterface-typeinterface-number步驟3執(zhí)行命令savimax-binding-tablemax-number，配置接口允許學(xué)習(xí)SAVI綁定表項的最大----結(jié)束（可選）配置偵聽響應(yīng)地址的 報文的時背景信息 自動生成IPv6地址。生成地址后，客戶端會發(fā)送DADNS報文來檢測網(wǎng)絡(luò)中是否存在重復(fù)地址。當(dāng)設(shè)備偵聽到客戶端的DADNS報文后，會生成NDSnoo表項并刪除該NDSnoo表項。如果在配置的偵聽時間內(nèi)未偵聽到NA報文，設(shè)備則將該NDSnoo表項置至NDSnoo表項老化時間到期，設(shè)備才將該NDSnoo 當(dāng)設(shè)備配置了自動探測NDSnoo表項對應(yīng)用戶的 nduser-binddetectenable配置），在設(shè)備發(fā)出配置的探測次數(shù)（通過命令nduser-binddetectretransmitretransmit-timesintervalretransmit-interval配置）線，設(shè)備才將該NDSnoo表項刪除。 DADNS報文來檢測網(wǎng)絡(luò)中是否存在重復(fù)地址。當(dāng)設(shè)備偵聽到客戶端的DADNS報文后，會將對應(yīng)的DHCPv6snoo表項置為detection狀態(tài)，同時開始偵 設(shè)備刪除該DHCPv6Snoo表項。 使用該IPv6地址。直至偵聽到DHCPv6客戶端發(fā)送的DHCPv6Decline或DHCPv6Release報文，設(shè)備才將該DHCPv6Snoo表項刪除。操作步驟步驟1執(zhí)行命令system-view步驟2執(zhí)行命令savimaxdad-delayvlaue，配置偵聽響應(yīng)地址的NA報文的時間。----結(jié)束背景信息如果在配置的偵聽時間內(nèi)未偵聽到DADNS報文，設(shè)備則將對應(yīng)的DHCPv6如果在配置的偵聽時間內(nèi)偵聽到DADNS報文，設(shè)備不會改變對應(yīng)的DHCPv6Snoo表項狀態(tài)。直至偵聽時間到期，設(shè)備才會將該DHCPv6Snoo表項在DHCPv6-Only場景下，設(shè)備偵聽到DHCPv6客戶端發(fā)送的DHCPv6Decline或DHCPv6Release報文，會將對應(yīng)的DHCPv6Snoo表項刪除。 如果在配置的偵聽時間內(nèi)未偵聽到DADNS報文，設(shè)備則將對應(yīng)的DHCPv6 如果在配置的偵聽響應(yīng)地址的NA報文的時間（通過命令savimaxdad-delayvalue配置）內(nèi)偵聽到NA報文，則說明該IPv6地址存在，設(shè)備刪除該DHCPv6Snoo表項。 設(shè)備則將該DHCPv6Snoo表項置為bound狀態(tài)。在DHCPv6與SLAAC混合場景下：當(dāng)DHCPv6Snoo表項處于detection狀態(tài)時，Snoo表項；當(dāng)DHCPv6Snoo表項處于bound狀態(tài)時，設(shè)備偵聽到DHCPv6客戶端發(fā)送的DHCPv6Decline或DHCPv6Release報文后會將該DHCPv6Snoo表操作步驟

步驟1執(zhí)行命令system-view步驟2執(zhí)行命令savimaxdad-prepare-delayvlaue，配置偵聽DHCPv6客戶端對獲取地址作沖----結(jié)束檢查配置結(jié)果操作步驟

----結(jié)束組網(wǎng)需求

園區(qū)網(wǎng)園區(qū)網(wǎng)配置思路

操作步驟

步驟1使能SAVI<<[>system-]sysname[SwitchA]savi步驟2創(chuàng)建[SwitchA][SwitchA]vlanbatch[SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/1]portlink-typeaccess[SwitchA-GigabitEthernet0/0/1]portdefaultvlan2[SwitchA-GigabitEthernet0/0/1]quit[SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/1]portlink-typeaccess[SwitchA-GigabitEthernet0/0/1]portdefaultvlan2[SwitchA-GigabitEthernet0/0/1]quit[SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/2]portlink-typeaccess[SwitchA-GigabitEthernet0/0/2]portdefaultvlan2[SwitchA-GigabitEthernet0/0/2]quit[SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/3]portlink-typetrunk[SwitchA-GigabitEthernet0/0/3]porttrunkallow-passvlan2[SwitchA-GigabitEthernet0/0/3]quit步驟4配置DHCPv6Snoo功[SwitchA][SwitchA]dhcpenable[SwitchA]dhcpsnoo [SwitchA][SwitchA]vlan[SwitchA-vlan2]dhcp[SwitchA-vlan2][SwitchA-vlan2]dhcpsnoo checkdhcp-requestenable[SwitchA-vlan2]quit[SwitchA][SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/3]dhcpsnoo [SwitchA-GigabitEthernet0/0/3]quit步驟5在VLAN2內(nèi)使能IPSourceGuard[SwitchA][SwitchA]vlan[SwitchA-vlan2]ipsourcecheckuser-bindenable[SwitchA-vlan2]quit步驟6 [SwitchA] ydhcp##dhcpsnoo #在VLAN視圖下執(zhí)行disythis命令可以看到VLAN2下已經(jīng)使能DHCPv6Snoo功能、DHCPv6協(xié)議報文綁定表匹配檢查功能和IPSourceGuard功能。[SwitchA][SwitchA]vlan[SwitchA-vlan2]dis vlandhcp dhcpsnoo checkdhcp-requestenableipsourcecheckuser-bindenable#[SwitchA-vlan2]#在接口視圖下執(zhí)行disythis命令可以看到接口GE0/0/3已經(jīng)配置為DHCPSnoo信[SwitchA][SwitchA]interfacegigabitethernet0/0/3[SwitchA-GigabitEthernet0/0/3]dis portlink-typetrunkporttrunkallow-passvlan2dhcpsnoo #----結(jié)束配置文件

##dhcp#vlan2dhcpsnoodhcpcheckdhcp-requestipsourcecheckuser-bind#portlink-typeaccessportdefaultvlan2portlink-typeaccessportdefaultvlan2portlink-typetrunkporttrunkallow-passvlan2dhcpsnoo #組網(wǎng)需求

如圖13-2所示，企業(yè)某部門使用SwitchA作為直接連接用戶主機的設(shè)備。網(wǎng)絡(luò)中未部署在者發(fā)送大量 ND協(xié)議報文或IPv6數(shù)據(jù)報文，將會存在合法用戶主機通信 在SwitchA上進行配置，對的ND協(xié)議報文和IPv6數(shù)據(jù)報文（源地址）進行有Host VLANHost VLANHost配置思路

配置NDSnoo功能，以便生成地址和端口的綁定關(guān)系表，用于后續(xù)的ND協(xié)議報文和IPv6數(shù)據(jù)報文源地址檢查。操作步驟<[>system-]<[>system-]sysname[SwitchA]savi[SwitchA]vlanbatch[SwitchA]vlanbatch步驟3將接口GE0/0/1、GE0/0/2、GE0/0/3加入到VLAN2[SwitchA][SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/1]portlink-typeaccess[SwitchA-GigabitEthernet0/0/1]portdefaultvlan2[SwitchA-GigabitEthernet0/0/1]quit[SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/2]portlink-typeaccess[SwitchA-GigabitEthernet0/0/2]portdefaultvlan2[SwitchA-GigabitEthernet0/0/2]quit[SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/3]portlink-typetrunk[SwitchA-GigabitEthernet0/0/3]porttrunkallow-passvlan2[SwitchA-GigabitEthernet0/0/3]quit步驟4配置NDSnoo功#全局使能NDSnoo功能[SwitchA]nd[SwitchA][SwitchA]vlan[SwitchA-vlan2]nd [SwitchA-vlan2][SwitchA-vlan2]nd[SwitchA-vlan2]ndsnoo[SwitchA-vlan2]quitchecknacheckns[SwitchA][SwitchA]interfacegigabitethernet0/0/3[SwitchA-GigabitEthernet0/0/3]ndsnoo [SwitchA-GigabitEthernet0/0/3]quit步驟5在VLAN2內(nèi)使能IPSourceGuard[SwitchA][SwitchA]vlan[SwitchA-vlan2]ipsourcecheckuser-bindenable[SwitchA-vlan2]quit步驟6#在系統(tǒng)視圖下執(zhí)行disythis命令可以看到全局已經(jīng)使能SAVI功能和NDSnoo功[SwitchA][SwitchA] yndsnoo savienable#[SwitchA]vlan[SwitchA-vlan2]dis vlannd ndsnoo checknsenablend checknaipsourcecheckuser-bind##[SwitchA-vlan2]#在接口視圖下執(zhí)行disythis命令可以看到接口GE0/0/3已經(jīng)配置為NDSnoo信任[SwitchA][SwitchA]interfacegigabitethernet0/0/3[SwitchA-GigabitEthernet0/0/3]dis portlink-typetrunkporttrunkallow-passvlan2ndsnoo #----結(jié)束配置文件

##ndsavienablevlan2ndsnoondsnoondchecknsenablechecknaipsourcecheckuser-bind#portlink-typeaccessportdefaultvlan#portlink-typeaccessportdefaultvlan#portlink-typetrunkporttrunkallow-passvlan2ndsnoo #組網(wǎng)需求

配置思路

配置NDSnoo功能，以便生成地址和端口的綁定關(guān)系表，用于后續(xù)的ND協(xié)議報文和IPv6數(shù)據(jù)報文源地址檢查。操作步驟

步驟1使能SAVI<<[>system-]sysname[SwitchA]savi步驟2創(chuàng)建[SwitchA]vlanbatch 步驟3將接口GE0/0/1、GE0/0/2、GE0/0/3加入到VLAN2[SwitchA][SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/1]portlink-typeaccess[SwitchA-GigabitEthernet0/0/1]portdefaultvlan2[SwitchA-GigabitEthernet0/0/1]quit[SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/2][SwitchA-GigabitEthernet0/0/2]portlink-typeaccess[SwitchA-GigabitEthernet0/0/2]portdefaultvlan2[SwitchA-GigabitEthernet0/0/2]quit[SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/3]portlink-typetrunk[SwitchA-GigabitEthernet0/0/3]porttrunkallow-passvlan2[SwitchA-GigabitEthernet0/0/3]quit步驟4配置DHCPv6Snoo功[SwitchA][SwitchA]dhcpenable[SwitchA]dhcpsnoo [SwitchA][SwitchA]vlan[SwitchA-vlan2]dhcp[SwitchA-vlan2][SwitchA-vlan2]dhcpsnoo checkdhcp-requestenable[SwitchA-vlan2]quit[SwitchA][SwitchA]interfacegigabitethernet[SwitchA-GigabitEthernet0/0/3]dhcpsnoo [SwitchA-GigabitEthernet0/0/3]quit步驟5配置NDSnoo功[SwitchA]nd[SwitchA][SwitchA]vlan[SwitchA-vlan2]nd [SwitchA-vlan2][SwitchA-vlan2]nd[SwitchA-vlan2]ndsnoo[SwitchA-vlan2]quitchecknacheckns[SwitchA][SwitchA]interfacegigabitethernet0/0/3[SwitchA-GigabitEthernet0/0/3]ndsnoo [SwitchA-GigabitEthernet0/0/3]quit步驟6在VLAN2內(nèi)使能IPSourceGuard[SwitchA][SwitchA]vlan[SwitchA-vlan2]ipsourcecheckuser-bindenable[SwitchA-vlan2]quit步驟7[SwitchA][SwitchA]dhcpy#在系統(tǒng)視圖下執(zhí)行dis 功能和NDSnoo #