Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração do guarda de anúncios de roteador IPv6 sem estado

O guarda de anúncio de roteador IPv6 (RA) sem estado permite que o switch examine as mensagens ra de entrada e as filtra com base em um conjunto predefinido de critérios. Se o switch validar o conteúdo da mensagem ra, ele encaminha a mensagem de RA para o seu destino; caso contrário, a mensagem de RA é descartada.

Antes de habilitar o guarda de RA IPv6, você deve configurar uma política com os critérios a serem usados para validar as mensagens de RA recebidas em uma interface. Você pode configurar a política para aceitar ou descartar mensagens de RA com base em se elas atendem aos critérios. Os critérios são comparados com as informações incluídas nas mensagens de RA. Se os critérios da política incluirem endereços de origem ou prefixos de endereço, você deve configurar uma lista dos endereços antes de configurar a política.

Configuração de uma política de descarte para o RA Guard

Você pode configurar uma política de descarte para soltar mensagens RA de fontes predefinidas. Primeiro, você deve configurar uma lista ou lista dos endereços de origem ou prefixos de endereço e, em seguida, associá-los a uma política. As listas a seguir podem ser associadas à política de descarte:

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Nota:

Você pode incluir mais de um tipo de lista em uma política de descarte. Se as informações contidas em uma mensagem de RA recebida correspondem a qualquer um dos parâmetros da lista, essa mensagem de RA será descartada.

Para configurar uma política de descarte para o guarda RA:

  1. Defina uma ou mais listas de endereços de origem ou prefixos de endereços não permitidos que o guarda RA usará para filtrar as mensagens ra de entrada. Adicione um endereço ou prefixo de endereço por linha na configuração.

    • Para definir uma lista de endereços de origem IPv6:

    • Para definir uma lista de prefixos de endereço IPv6:

    • Para definir uma lista de endereços de origem MAC:

  2. Configure o nome da política:
  3. Especifique a ação de descarte:
  4. Associe a política à lista ou listas definidas na Etapa 1. Por exemplo, descartar mensagens ra que correspondam a um endereço MAC de origem na lista:

Configuração de uma política de aceitação para a ra guard

Você pode configurar uma política de aceitação para encaminhar mensagens de RA com base em determinados critérios. Você pode configurar listas de correspondências de endereço de origem ou prefixos de endereço conforme os critérios, ou pode configurar outras condições de correspondência, como limite de salto, bandeiras de configuração ou preferência do roteador conforme os critérios.

As listas a seguir podem ser associadas a uma política de aceitação usando a opção match-list :

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Nota:

Você pode associar mais de um tipo de lista de correspondência com uma política de aceitação. Se a match-all subopção estiver configurada, uma mensagem de RA recebida deve combinar com todas as listas de correspondência configuradas para ser encaminhada; caso contrário, ela é descartada. Se a opção match-any estiver configurada, uma mensagem de RA recebida deve combinar com qualquer uma das listas de partidas configuradas para ser encaminhada; se não corresponder a nenhuma das listas configuradas, ela será descartada.

As seguintes condições de jogo podem ser configuradas usando a opção match-option :

  • hop-limit— Configure a política de proteção de RA para verificar a contagem mínima ou máxima de salto para uma mensagem ra de entrada.

  • managed-config-flag— Configure a política de proteção de RA para verificar se a bandeira de configuração de endereço gerenciado de uma mensagem RA de entrada está definida.

  • other-config-flag— Configure a política de proteção de RA para verificar se a outra bandeira de configuração de uma mensagem RA de entrada está definida.

  • router-preference-maximum— Configure a política de proteção de RA para verificar se o valor de parâmetro de preferência do roteador padrão de uma mensagem RA de entrada é menor do que ou igual a um limite especificado.

Nota:

As match-list opções e as match-option opções são usadas apenas em políticas de aceitação, não em políticas de descarte.

Configurar uma política de aceitação para proteção de RA usando a opção match-list :

  1. Defina uma ou mais listas de endereços de origem autorizados ou prefixos de endereço que o guarda RA usará para filtrar as mensagens ra de entrada. Adicione um endereço ou prefixo de endereço por linha na configuração.

    • Para definir uma lista de endereços de origem IPv6:

    • Para definir uma lista de prefixos de endereço IPv6:

    • Para definir uma lista de endereços de origem MAC:

  2. Especifique o nome da política:
  3. Especifique a ação de aceitação:
  4. Especifique se o guarda RA deve atender aos critérios em todas as listas ou em qualquer uma das listas configuradas em 1:

    • Para combinar em todas as listas:

    • Para combinar em qualquer uma das listas:

  5. Associe a política de aceitação com a lista ou listas configuradas na Etapa 1. Por exemplo:

Para configurar uma política de aceitação para proteção de RA usando a opção match-option :

  1. Especifique o nome da política:

  2. Especifique a ação de aceitação:

  3. Especifique as condições de correspondência usando a opção match-option . Por exemplo, especificar uma correspondência no número máximo de saltos:

Habilitando a guarda RA sem estado em uma interface

Você pode habilitar um guarda RA sem estado em uma interface. Você deve primeiro configurar uma política, que é aplicada a mensagens RA de entrada na interface ou interfaces. Depois de aplicar uma política a uma interface, você também deve ativar o guarda RA na VLAN correspondente; caso contrário, a política aplicada à interface não tem nenhum impacto nos pacotes de RA recebidos.

Para habilitar um guarda RA apátrida em uma interface:

  1. Aplique uma política em uma interface:
  2. Configure a opção stateless na interface:
  3. Habilite um guarda RA apátrida na VLAN correspondente:

Habilitando a Guarda RA apátrida em uma VLAN

Você pode habilitar um guarda RA sem estado por VLAN ou para todas as VLANs. Você deve primeiro configurar uma política, que é usada para validar as mensagens de RA recebidas no estado de aprendizado.

Para habilitar um guarda RA apátrida em uma VLAN específica:

  1. Aplicar uma política a uma VLAN.
  2. Configure a opção stateless na VLAN:

Para habilitar a guarda RA sem estado em todas as VLANs:

  1. Aplique uma política a todas as VLANs.

    Nota:

    Se uma política tiver sido configurada para uma VLAN específica usando o comando set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name, essa política tem prioridade sobre a política aplicada globalmente a todas as VLANs.

  2. Configure a opção stateful em todas as VLANs:

Configurando uma interface como confiável ou bloqueada para ignorar a inspeção pelo RA Guard

Você pode configurar uma interface como confiável ou bloqueada para ignorar a inspeção de mensagens ra pelo guarda ra. Quando uma mensagem de RA é recebida em uma interface confiável ou bloqueada, ela não está sujeita à validação contra a política configurada. Uma interface confiável encaminha todas as mensagens de RA. Uma interface bloqueada descarta todas as mensagens de RA.

  • Para configurar uma interface como confiável:
  • Para configurar uma interface conforme bloqueado:

Documentação relacionada