Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo o guarda de anúncios do roteador IPv6

Em uma implantação IPv6, os roteadores periodicamente enviam mensagens de anúncio de roteador multicast (RA) para anunciar sua disponibilidade e transmitir informações a nós vizinhos que lhes permitem ser configurados automaticamente na rede. As mensagens de RA são usadas pelo Neighbor Discovery Protocol (NDP) para detectar vizinhos, anunciar prefixos IPv6, ajudar no provisionamento de endereços e compartilhar parâmetros de link, como unidade de transmissão máxima (MTU), limite de salto, intervalos de anúncio e vida útil. Os hosts ouvem mensagens de RA para a autoconfiguração de endereçoS IPv6 e a descoberta de endereços locais de enlaces dos roteadores vizinhos, e também podem enviar uma mensagem de Solicitação de Roteador (RS) para solicitar anúncios imediatos.

As mensagens de RA não têm garantia, o que as torna suscetíveis a ataques na rede que envolvem a spoofing (ou forjação) de endereços de camada de link. Além disso, a configuração incorreta não intencional por usuários ou administradores pode levar à presença de mensagens ra indesejadas ou desonestos, o que pode causar problemas operacionais para hosts vizinhos. Você pode configurar o proteção de anúncio de roteador IPv6 (RA) para proteger sua rede contra mensagens ra desonestos geradas por roteadores não autorizados ou configurados incorretamente conectados ao segmento de rede.

O guarda ra funciona validando mensagens RA com base em se elas atendem a determinados critérios, configuradas no switch usando políticas. O guarda de RA inspeciona mensagens de RA e compara as informações contidas nos atributos da mensagem com a política configurada. Dependendo da política, o guarda ra cai ou encaminha as mensagens de RA que correspondem às condições.

As seguintes informações contidas nos atributos de mensagem de RA podem ser usadas pelo guarda ra para validar a fonte da mensagem ra:

  • Endereço MAC de origem

  • Endereço IPv6 de origem

  • Prefixo de endereço IPv6 de origem

  • Limite de contagem de saltos

  • Prioridade de preferência do roteador

  • Bandeira de configuração gerenciada

  • Outra bandeira de configuração

Você pode configurar o guarda RA para operar em modo stateless ou stateful. No modo stateless, no estado padrão, uma mensagem de RA recebida em uma interface é analisada e filtrada com base em se corresponde às condições configuradas na política anexada a essa interface. Se o conteúdo da mensagem de RA for validado, ele encaminha a mensagem de RA para o seu destino; caso contrário, a mensagem de RA é descartada. O estado de uma interface operando no modo stateless pode ser alterado pela configuração. Se a interface for configurada como confiável, todas as mensagens de RA serão encaminhadas sem serem validadas contra a política. Se a interface estiver configurada como bloqueada, todas as mensagens de RA serão descartadas sem serem validadas contra a política.

No modo stateful, uma interface pode fazer a transição dinâmica de um estado para outro com base em informações coletadas durante um período de aprendizado. Durante esse período, conhecido como estado de aprendizado , as mensagens de RA de entrada são validadas contra uma política para determinar quais interfaces estão anexadas a links com roteadores IPv6 válidos. Ao final do período de aprendizado, as interfaces anexadas aos remetentes legítimos de mensagens de RA fazem a transição dinamicamente para o estado de encaminhamento , no qual as mensagens de RA são encaminhadas se puderem ser validadas contra uma política. Interfaces que não recebem mensagens RA válidas durante o período de aprendizado fazem a transição dinamicamente para o estado bloqueado , em que todas as mensagens de ENTRADA RA são descartadas.

A Tabela 1 resume os estados da guarda de RA IPv6 para modos apátridas e stateful.

Tabela 1: Estados de guarda de RA IPv6

Estado

Descrição

Modo

Desligado

A interface opera como se o guarda RA não estivesse disponível.

Apátrida/stateful

Untrusted

A interface encaminha mensagens ra de entrada se as mensagens de RA recebidas forem validadas contra as regras de política configuradas; caso contrário, ele deixa cair a mensagem de RA. Estado não confiável é o estado padrão de uma interface habilitada para o guarda RA.

Apátrida/stateful

Bloqueado

A interface bloqueia a entrada de mensagens RA.

Apátrida/stateful

Encaminhamento

A interface encaminha mensagens ra de entrada se as mensagens de RA recebidas forem validadas contra as regras de política configuradas; caso contrário, ele deixa cair as mensagens de RA.

Stateful

Aprendizagem

O switch adquire ativamente informações sobre o dispositivo de roteamento IPv6 conectado à interface. O processo de aprendizado ocorre em um período de tempo predefinido.

Stateful

Confiável

A interface encaminha todas as mensagens de RA diretamente, sem validá-las contra a política.

Apátrida/stateful

A Figura 1 ilustra a transição de estados quando a guarda de RA stateful é habilitada. Os números mostrados nas ilustrações são descritos no texto a seguir; não são etapas sequenciais.

Figura 1: Transições de estado da guarda de RA stateful Stateful RA Guard State Transitions

  1. Quando o guarda RA é habilitado em uma interface, ele se move para o estado não confiável de fora do estado. O estado não confiável é o estado padrão de uma interface que é habilitada para a proteção de RA.

  2. Quando o comando que solicita o estado de aprendizado é emitido, a interface é movida do estado de off state para o estado de aprendizado .

  3. As mensagens de RA recebidas durante o estado de aprendizado são comparadas com a política configurada.

  4. Se as mensagens de RA forem validadas contra a política configurada, a interface se move para o estado de encaminhamento .

  5. Se as mensagens de RA não forem validadas contra a política configurada, a interface se move para bloquear o estado.

  6. Se mark-interface trust estiver configurada na interface validada, ela passa do estado de encaminhamento para o estado de confiança .

  7. Se mark-interface trust estiver configurado na interface bloqueada, ele passa do estado bloqueado para o estado de confiança .

  8. Se o aprendizado for solicitado em uma interface bloqueada, então a interface passa do estado bloqueado para o estado de aprendizado .

  9. Se uma interface no estado não confiável padrão estiver configurada como mark-interface trust, ela se moverá diretamente para o estado de confiança. Neste caso, uma política não pode ser aplicada nessa interface.

  10. Se a mark-interface trust configuração for excluída e nenhum RAs válido for recebido na interface, a interface se moverá para o estado bloqueado .

  11. Se o comando que solicita o estado de encaminhamento for emitido, a interface se moverá diretamente do estado de encaminhamento para o encaminhamento.

  12. Se o comando que solicita o estado de bloqueio for emitido, então a interface se move diretamente do encaminhamento para bloqueado.

  13. Se uma interface no estado não confiável padrão estiver configurada como mark-interface block, ela se move diretamente para o estado bloqueado . Neste caso, uma política não pode ser aplicada nessa interface.

Documentação relacionada