在思科环境(ISR-G2)中,如何防止或缓解不正确的RA公告?
我看到思科拥有“ IPv6 RA Guard ”……但是,它是否仅在路由器上运行并以正确的RA“反击”?使用交换机将伪造的RA过滤出网络不是更有意义吗?(或者我是否对伪造的RA过于偏执?)
在思科环境(ISR-G2)中,如何防止或缓解不正确的RA公告?
我看到思科拥有“ IPv6 RA Guard ”……但是,它是否仅在路由器上运行并以正确的RA“反击”?使用交换机将伪造的RA过滤出网络不是更有意义吗?(或者我是否对伪造的RA过于偏执?)
Answers:
这来自IOS 15.2T的配置指南。该功能称为RA保护。基本上,您将创建一个策略并定义该策略将应用到的端口是通向主机还是路由器。然后,您可以更具体一些,并在跳数限制,managed-config-flag上进行匹配,并在ACL上进行匹配,并在一定范围内信任源应来自的来源。您也可以使端口受信任,而不进行任何进一步的检查。
在某些方面,这与DHCP侦听非常相似。基本步骤是:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
然后,您可以使用此命令来验证:
show ipv6 nd raguard policy
如果您的交换机支持该功能,则尽早捕获RA是有意义的。我不认为这是偏执狂。对于DHCP也可以这样说。有时甚至不是恶意用户,这只是人们不了解或将糟糕的设备连接到网络的一种情况。
从RFC 6105开始:“ RA-Guard适用于IPv6终端设备之间的所有消息都经过受控L2网络设备的环境。” 也就是说,它按照您所说的去做。在切换端口入口处过滤掉非法RA。它的运作原理是阻止与接受,而不是大声喊叫。