隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，安全問題日益嚴(yán)重，通常說IPv6比IPv4更安全，這種觀點(diǎn)來源于IPv6最初的定義(RFC2401)對IPSec的強(qiáng)制使用，由于這種觀點(diǎn)的存在促進(jìn)了IPv6得到應(yīng)用。

雖然這種強(qiáng)制IPSec的特征阻擋了一些攻擊的入侵之機(jī)，但是IPv6并不是萬能的，各種攻擊漏洞也必定存在，而問題的根源大多是與非法主機(jī)接入有關(guān)，針對IPv4、IPv6主機(jī)的安全合法接入問題，清華大學(xué)于2009年4月提出SAVI源址合法性檢驗(yàn) rfc草案，該草案主要講述了ipv4/ipv6的CPS（Control Packet Snooping）原理，根據(jù)CPS原理在接入設(shè)備(交換機(jī)、AP)上建立基于源地址的綁定關(guān)系，從而可以判斷從接入設(shè)備的指定端口接收到的報文的源地址的有效性。

IPv6 SAVI技術(shù)原理

CPS對于客戶端是透明的，在客戶端沒有任何變化，也沒有新增任何協(xié)議，所涉及的內(nèi)容都是根據(jù)已有的協(xié)議操作流程，在接入設(shè)備上建立綁定關(guān)系，這種綁定關(guān)系一般都是臨時的，有生存期，也有一些事件可以觸發(fā)接入設(shè)備解除具體的綁定關(guān)系。

CPS綁定關(guān)系的建立是以重復(fù)地址檢測為基礎(chǔ)的( ipv4的gratuitous ARP報文，ipv6的DAD NS報文)，如果主機(jī)使用沒有進(jìn)行重復(fù)檢測的地址作為源地址來發(fā)送報文，則接入設(shè)備應(yīng)將該報文作為欺騙報文來處理。接入設(shè)備根據(jù)客戶端發(fā)出重復(fù)地址檢測報文后在一定時間內(nèi)沒有收到應(yīng)答報文而在接入端建立基于源地址的綁定關(guān)系，綁定關(guān)系建立后，從相應(yīng)的端口收到的數(shù)據(jù)報文，根據(jù)其源地址是否在端口綁定關(guān)系表中有匹配來確定報文是否合法，從而對合法報文正常轉(zhuǎn)發(fā)，非法報文則丟棄。

IPv6 SAVI技術(shù)草案中關(guān)于IPv4的主機(jī)合法接入主要包括了ARP snooping與DHCP snooping兩部分的內(nèi)容；關(guān)于IPv6的主機(jī)合法接入主要包括了NDP snooping與DHCPv6 snooping兩部分的內(nèi)容，下面分別介紹。

NDP Snooping 功能

NDP snooping利用Control Packet Snooping(CPS)機(jī)制，通過源IPv6地址和錨信息綁定的方式，對端口接入報文進(jìn)行合法性檢測，放行匹配綁定的報文，丟棄不匹配的報文，以達(dá)到對直連鏈路節(jié)點(diǎn)準(zhǔn)入控制的目的。

全局啟用NDP snooping功能，交換機(jī)所有端口上均可建立NDP snooping綁定，但不下硬件表項（即準(zhǔn)入控制表項）。

端口上啟用NDP snooping功能時，該端口上初始化拒絕所有ipv6報文（除了源地址為本地鏈路地址的IPv6報文和NS/NA報文）。當(dāng)該端口上根據(jù)DAD NS報文建立一個狀態(tài)為SAC_BOUND的NDP snooping綁定時，則下發(fā)一個（IPv6 address，MAC，Port Name，VLAN ID）四元組的準(zhǔn)入控制表項，允許符合規(guī)則的IPv6報文通過。

關(guān)閉端口的NDP snooping功能時，不刪除上層綁定表項，只刪除下發(fā)的準(zhǔn)入控制表項；關(guān)閉全局的NDP snooping功能時，刪除所有的上層綁定表項，同時刪除下發(fā)的所有準(zhǔn)入控制表項。

DHCPv6 Snooping 功能

在用戶不需要認(rèn)證和使用DHCPv6方式獲取IPv6地址的環(huán)境之下，可以獨(dú)立使用DHCPv6 SNOOPING在交換機(jī)上綁定用戶，用戶的（ipv6 address, mac, port）綁定信息可以是通過DHCPv6 SNOOPING在用戶動態(tài)獲取地址的過程中獲得。接入主機(jī)獲取動態(tài)地址之前只能訪問DHCP SERVER和使用本地鏈路地址fe80::/10訪問本地資源；獲取動態(tài)全球單播地址之后可以訪問所有資源。在這種模式下，接入交換機(jī)能夠嚴(yán)格控制接入主機(jī)的報文，只有完全匹配IPv6 address、MAC、PORT的IPv6報文和本地鏈路報文才允許轉(zhuǎn)發(fā)，可以對用戶的源地址進(jìn)行性有效控制，禁止用戶私自配置地址而訪問網(wǎng)絡(luò)。以上介紹IPv6 SAVI技術(shù)。