清华大学于 2009 年 4 月提出 SAVI 源址合法性检验 rfc 草案, 该草案主要讲述了 IPv4/ IPv6 的 CPS(Control Packet Snooping)原理,根据 CPS 原理在接入设备
(交换机、AP)上建立基于源地址的绑定关系,从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。 IPv6 的主机合法接入主要包括了 NDP snooping 与 DHCPv6 snooping 两部分的内容 :
(1)NDP Snooping 功能
一张图看懂NDP Snooping 功能:如图所示:
NDP snooping 功能启在接入交换机 S2 上,端口 Ethernet0/0/27 拒绝转发所有 IPv6 数据流量,汇聚交换机 S1 配置无状态地址自动配置协议,公告前缀 2001: :/64。
当客户主机 PC 接收到来自 S1 的 RA 公告后,通过无状态地址自动配置协议自动获取前缀为 2001: :/64 的 IPv6 地址,地址生成后会先发送 DAD NS 报文,探测在当前链路上该 IPv地址是否可用。客户主机若收到 DAD NA 回应表示该地址不可用,反之表示可用。接入交换机 S2 当收到来自客户主机的DAD NS 后,会为该主机建立 NDP snooping 绑定,在规定时间内若未探测到回应的 DAD NA 报文,则根据该 NDPsnooping 绑定下发驱动表项, 允许转发该源地址的 IPv6 报文,从而达到客户主机 IPv6 流量的控制接入目的。 (未完待续。。。)
当客户主机 PC 接收到来自 S1 的 RA 公告后,通过无状态地址自动配置协议自动获取前缀为 2001: :/64 的 IPv6 地址,地址生成后会先发送 DAD NS 报文,探测在当前链路上该 IPv地址是否可用。客户主机若收到 DAD NA 回应表示该地址不可用,反之表示可用。接入交换机 S2 当收到来自客户主机的DAD NS 后,会为该主机建立 NDP snooping 绑定,在规定时间内若未探测到回应的 DAD NA 报文,则根据该 NDPsnooping 绑定下发驱动表项, 允许转发该源地址的 IPv6 报文,从而达到客户主机 IPv6 流量的控制接入目的。 (未完待续。。。)
1655
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
