FAQ-S5700系列交换机配置基于IPv6无状态自动配置获取地址方式的IPSG(IP源防攻击)

发布时间:  2016-05-13 浏览次数:  100 下载次数:  0
问题描述

IPv6地址增长为128位,且终端节点多,对于自动配置的要求更为迫切,除保留了DHCP作为有状态自动配置外,还增加了无状态自动配置。无状态自动配置即自动生成链路本地地址,主机根据RA报文的前缀信息,自动配置全球单播地址等,并获得其他相关信息。对于无状态自动配置获取地址的IPv6主机,需要配置ND Snooping功能,设备通过侦听用户用于重复地址检测的NS报文来建立ND Snooping动态绑定表


解决方案

配置步骤:

1.执行命令system-view,进入系统视图。

2.执行命令nd snooping enable,全局使能ND Snooping功能。

缺省情况下,全局未使能ND Snooping功能。

3.进入VLAN或者接口视图。

    • 执行命令vlan vlan-id,进入VLAN视图。
    • 执行命令interface interface-type interface-number,进入接口视图。

4.执行命令nd snooping enable,使能VLAN或者接口的ND Snooping功能。

缺省情况下,VLAN和接口下未使能ND Snooping功能。

5.配置信任接口,以下任务二选一。

    • VLAN视图下执行命令nd snooping trusted interface interface-type interface-number,配置加入该VLAN的接口为ND Snooping信任接口。
    • 在接口视图下执行命令nd snooping trusted,配置接口为ND Snooping信任接口。

缺省情况下,使能ND Snooping功能后,所有接口为非信任状态。

6.进入接口或VLAN视图。

    • 执行命令interface interface-type interface-number,进入接口视图。
    • 执行命令vlan vlan-id,进入VLAN视图。

7.执行命令ip source check user-bind enable,使能接口或者VLANIP报文检查功能。

缺省情况下,接口和VLAN上未使能IP报文检查功能。


配置脚本示例:
#
ipv6                                     //全局使能IPv6报文转发功能
#
vlan batch 10 20
#
nd snooping enable                       //全局使能ND Snooping
#
vlan 10
 nd snooping enable                      //VLAN下使能ND Snooping
 nd snooping trusted interface GigabitEthernet0/0/48            //配置上联IPv6邻居的接口为信任接口
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 ip source check user-bind enable        //下联终端的接口使能IP报文检查功能
#
 interface GigabitEthernet0/0/48
 port link-type trunk
 port trunk allow-pass vlan 10 20
#

END