Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração do stateful IPv6 Router Advertisement Guard

O guarda de anúncio de roteador IPv6 (RA) stateful permite que um switch aprenda sobre as fontes de mensagens de RA por um determinado período de tempo. Durante esse período, durante o qual o switch é conhecido por estar no estado de aprendizado, as informações contidas nos atributos de mensagem de RA recebidos são armazenadas e comparadas com a política. Ao final do período de aprendizado, o switch tem um registro de quais interfaces estão anexadas a links com roteadores IPv6 válidos. Se não houver um roteador IPv6 válido conectado a uma interface, o switch faz a transição dinâmica da interface do estado de aprendizado para o estado de bloqueio. Mensagens ra subseqüentes recebidas após a transição para o estado de bloqueio são descartadas. Se houver um roteador IPv6 válido conectado à interface, a interface faz a transição para o estado de encaminhamento. No estado de encaminhamento, são encaminhadas mensagens de RA que podem ser validadas contra a política configurada.

Você pode substituir as transições dinâmicas de estado configurando estaticamente os estados de encaminhamento ou bloqueio em uma interface. Quando você configura estaticamente o estado em uma interface, o estado só pode ser alterado por meio da configuração. Por exemplo, se você configurar o estado de encaminhamento em uma interface, a interface permanecerá no estado de encaminhamento até configurar um estado diferente nessa interface.

Antes de habilitar o guarda IPv6 RA em uma interface ou VLAN, você deve configurar uma política. O guarda de RA stateful usa a política para determinar se as mensagens de RA recebidas em uma interface são de remetentes válidos. Você pode configurar a política para aceitar ou descartar mensagens RA que atendam aos critérios predefinidos. Se os critérios da política incluirem endereços de origem ou prefixos de endereço, você deve configurar uma lista dos endereços antes de configurar a política.

Habilitando o Stateful RA Guard em uma interface

Você pode habilitar um guarda RA stateful em uma interface. Você deve primeiro configurar uma política, que é usada para validar as mensagens de RA recebidas durante o período de aprendizado. Depois de aplicar uma política de proteção de RA a uma interface, você deve habilitar o guarda RA na VLAN correspondente.

Para habilitar um guarda RA stateful em uma interface:

  1. Aplique uma política em uma interface.
  2. Configure a opção stateful na interface:
  3. Habilite a guarda de RA stateful na VLAN correspondente:

Habilitando a Stateful RA Guard em uma VLAN

Você pode habilitar um guarda RA stateful por VLAN ou para todas as VLANs. Você deve primeiro configurar uma política, usada para validar as mensagens de RA recebidas durante o estado de aprendizado.

Para habilitar um guarda RA stateful em uma VLAN específica:

  1. Aplicar uma política a uma VLAN.
  2. Configure a opção stateful na VLAN:

Para habilitar a guarda ra stateful em todas as VLANs:

  1. Aplique uma política a todas as VLANs.

    Nota:

    Se uma política tiver sido configurada para uma VLAN específica usando o comando set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name, essa política tem prioridade sobre a política aplicada globalmente a todas as VLANs.

  2. Configure a opção stateful em todas as VLANs:

Configurando o estado de aprendizado em uma interface

Quando o guarda ra stateful é habilitado pela primeira vez, o estado padrão está desativado. Uma interface fora do estado opera como se o guarda RA não estivesse disponível. Para fazer a transição de uma interface para o estado de aprendizado, você deve solicitar aprendizado na interface. Uma interface no estado de aprendizado adquire ativamente informações das mensagens de RA que recebe.

Para configurar o aprendizado de guarda RA stateful em uma interface:

  1. Solicite aprendizado na interface.
  2. Configure o período de aprendizado em segundos.
  3. Configure a ação para assumir mensagens de RA de entrada recebidas durante o período de aprendizado. Para encaminhar mensagens de RA recebidas durante o período de aprendizado, configure o encaminhamento na interface.

    • Para encaminhar mensagens de RA durante o período de aprendizado:

    • Bloquear mensagens de RA durante o período de aprendizado:

Configurando o estado de encaminhamento em uma interface

Uma interface no estado de encaminhamento aceita mensagens ra de entrada que podem ser validadas contra a política configurada e as encaminha para o seu destino. Uma interface pode fazer a transição dinâmica para o estado de encaminhamento diretamente do estado de aprendizado, ou o estado de encaminhamento pode ser configurado estaticamente na interface.

Para configurar o estado de encaminhamento em uma interface:

Configurando o estado de bloqueio em uma interface

Uma interface no estado de bloqueio bloqueia a entrada de mensagens RA. Uma interface pode fazer a transição dinâmica para o estado de bloqueio diretamente do estado de aprendizado, ou o estado de bloqueio pode ser configurado estaticamente na interface. Uma interface que foi configurada estaticamente para estar no estado de bloqueio permanecerá no estado de bloqueio até que outro estado esteja configurado nessa interface.

Para configurar o estado de bloqueio em uma interface:

Documentação relacionada