SAVI对于IP源地址认证分为三大场景，分别是接入，域内和域间。

今天我们先聊聊接入场景。接入场景主要是指在接入交换机和AP设备上起SAVI功能，从而保证对接入终端真实性的验证。

接入场景下的基本思想就是实现终端系统IP地址一级细粒度源地址验证，监听与地址分配有关的报文，建立IP地址和IP层以下网络实体的绑定关系。

SAVI接入场景目的及步骤

接入场景下，SAVI主要就是防止相同接入网内主机的相互伪造；解决入站过滤（ingress filterling)等前缀粒度的源地址验证方案过滤不足的问题；

主要步骤：

1.监听地址分配协议的控制报文，确定合法的IP源地址；

2.将合法的IP地址与绑定锚绑定；

3.对数据包中的IP源地址与它们所绑定的绑定锚是否匹配进行检验。

其中，绑定锚包含主机接口的MAC地址，以太网交换机的物理端口，主机与无线通信基站的安全连接，ATM虚拟通道，PPP会话标识符，L2tp会话标识符等等。

有线接入和无线接入

在交换机场景下，需要将用户IP、MAC地址和端口进行绑定验证。

而在无线场景下，无线客户端通过认证并被分配IP地址，AP就会记录下该无线客户端的MAC地址与被分配的IP地址的绑定关系，并上传到AC中，当AP再次收到无线客户端的数据流量时，如果检测到无线客户端的MAC地址和IP地址与AP和AC记录不匹配，则不对流量进行转发。

以上就是SAVI接入场景的情况。下一期分享域内的场景。欢迎大家关注公众号“空间流”，获取更多相关知识。

未经授权，禁止转载。