SAVI对于IP源地址认证分为三大场景,分别是接入,域内和域间。
今天我们先聊聊接入场景。接入场景主要是指在接入交换机和AP设备上起SAVI功能,从而保证对接入终端真实性的验证。
接入场景下的基本思想就是实现终端系统IP地址一级细粒度源地址验证,监听与地址分配有关的报文,建立IP地址和IP层以下网络实体的绑定关系。
SAVI接入场景目的及步骤
接入场景下,SAVI主要就是防止相同接入网内主机的相互伪造;解决入站过滤(ingress filterling)等前缀粒度的源地址验证方案过滤不足的问题;
主要步骤:
1.监听地址分配协议的控制报文,确定合法的IP源地址;
2.将合法的IP地址与绑定锚绑定;
3.对数据包中的IP源地址与它们所绑定的绑定锚是否匹配进行检验。
其中,绑定锚包含主机接口的MAC地址,以太网交换机的物理端口,主机与无线通信基站的安全连接,ATM虚拟通道,PPP会话标识符,L2tp会话标识符等等。
有线接入和无线接入
在交换机场景下,需要将用户IP、MAC地址和端口进行绑定验证。
而在无线场景下,无线客户端通过认证并被分配IP地址,AP就会记录下该无线客户端的MAC地址与被分配的IP地址的绑定关系,并上传到AC中,当AP再次收到无线客户端的数据流量时,如果检测到无线客户端的MAC地址和IP地址与AP和AC记录不匹配,则不对流量进行转发。
以上就是SAVI接入场景的情况。下一期分享域内的场景。欢迎大家关注公众号“空间流”,获取更多相关知识。
未经授权,禁止转载。
