Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do stateless IPv6 Router Advertisement Guard

A proteção stateless IPv6 Router Advertisement (RA) permite que o switch examine as mensagens de RA recebidas e as filtra com base em um conjunto predefinido de critérios. Se o switch validar o conteúdo da mensagem RA, ele encaminha a mensagem RA ao seu destino; caso contrário, a mensagem de RA é retirada.

Antes de habilitar o guarda RA IPv6, você deve configurar uma política com os critérios a serem usados para validar as mensagens de RA recebidas em uma interface. Você pode configurar a política para aceitar ou descartar mensagens de RA com base em se elas atendem aos critérios. Os critérios são comparados com as informações incluídas nas mensagens de RA. Se os critérios da política incluirem endereços de origem ou prefixos de endereço, você deve configurar uma lista dos endereços antes de configurar a política.

Configuração de uma política de descarte para ra guard

Você pode configurar uma política de descarte para soltar mensagens de RA de fontes predefinidas. Primeiro, você deve configurar uma lista ou lista de endereços de origem ou prefixos de endereço e, em seguida, associá-los a uma política. As listas a seguir podem ser associadas à política de descarte:

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Nota:

Você pode incluir mais de um tipo de lista em uma política de descarte. Se as informações contidas em uma mensagem de RA recebida correspondem a qualquer um dos parâmetros da lista, essa mensagem de RA será descartada.

Para configurar uma política de descarte para proteção de RA:

  1. Defina uma ou mais listas de endereços de origem ou prefixos de endereço desautorizados que o guarda RA usará para filtrar as mensagens de RA recebidas. Adicione um endereço ou endereço prefixo por linha na configuração.
    • Para definir uma lista de endereços de origem IPv6:

    • Para definir uma lista de prefixos de endereço IPv6:

    • Para definir uma lista de endereços de origem MAC:

  2. Configure o nome da política:
  3. Especifique a ação de descarte:
  4. Associe a política à lista ou listas definidas na Etapa 1. Por exemplo, descartar mensagens de RA que correspondam a um endereço MAC de origem na lista:

Configurando uma política de aceitação para a RA Guard

Você pode configurar uma política de aceitação para encaminhar mensagens de RA com base em determinados critérios. Você pode configurar listas de correspondências de endereço de origem ou prefixos de endereço como critérios, ou configurar outras condições de correspondência, como limite de hop, bandeiras de configuração ou preferência do roteador como critérios.

As listas a seguir podem ser associadas a uma política de aceitação usando a opção match-list :

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Nota:

Você pode associar mais de um tipo de lista de correspondência com uma política de aceitação. Se a match-all subopção estiver configurada, uma mensagem de RA recebida deve combinar todas as listas de correspondência configuradas para ser encaminhada; caso contrário, ela é descartada. Se a opção match-any estiver configurada, uma mensagem de RA recebida deve combinar com qualquer uma das listas de correspondência configuradas para ser encaminhada; se ela não combinar com nenhuma das listas configuradas, ela será descartada.

As condições de correspondência a seguir podem ser configuradas usando a opção match-option :

  • hop-limit— Configure a política de proteção de RA para verificar a contagem mínima ou máxima de hop para uma mensagem ra de entrada.

  • managed-config-flag— Configure a política de proteção de RA para verificar se a bandeira de configuração de endereço gerenciado de uma mensagem RA de entrada é definida.

  • other-config-flag— Configure a política de proteção de RA para verificar se a outra bandeira de configuração de uma mensagem RA de entrada está definida.

  • router-preference-maximum— Configure a política de proteção de RA para verificar se o valor de parâmetro de preferência do roteador padrão de uma mensagem RA de entrada é inferior ou igual a um limite especificado.

Nota:

A e match-option as match-list opções são usadas apenas em políticas de aceitação, não em políticas de descarte.

Configurar uma política de aceitação para proteção de RA usando a opção match-list :

  1. Defina uma ou mais listas de endereços de origem autorizados ou prefixos de endereço que o guarda RA usará para filtrar as mensagens de RA recebidas. Adicione um endereço ou endereço prefixo por linha na configuração.
    • Para definir uma lista de endereços de origem IPv6:

    • Para definir uma lista de prefixos de endereço IPv6:

    • Para definir uma lista de endereços de origem MAC:

  2. Especifique o nome da política:
  3. Especifique a ação aceita:
  4. Especifique se o guarda RA deve atender aos critérios em todas as listas ou em qualquer uma das listas configuradas em 1:
    • Para combinar em todas as listas:

    • Para combinar em qualquer uma das listas:

  5. Associe a política de aceitação com a lista ou listas configuradas na Etapa 1. Por exemplo:

Para configurar uma política de aceitação para proteção de RA usando a opção match-option :

  1. Especifique o nome da política:

  2. Especifique a ação aceita:

  3. Especifique as condições de correspondência usando a opção match-option . Por exemplo, especificar uma correspondência no número máximo de hops:

Habilitando o Stateless RA Guard em uma interface

Você pode habilitar um guarda RA stateless em uma interface. Primeiro, você deve configurar uma política, que é aplicada a mensagens de RA de entrada na interface ou interfaces. Depois de aplicar uma política a uma interface, você também deve habilitar a proteção RA no VLAN correspondente; caso contrário, a política aplicada à interface não tem impacto nos pacotes de RA recebidos.

Para habilitar a proteção RA stateless em uma interface:

  1. Aplique uma política em uma interface:
  2. Configure a opção stateless na interface:
  3. Habilite a proteção ra stateless no VLAN correspondente:

Habilitando a Stateless RA Guard em um VLAN

Você pode habilitar um guarda RA stateless por VLAN ou para todas as VLANs. Primeiro, você deve configurar uma política, que é usada para validar as mensagens de RA recebidas no estado de aprendizado.

Para habilitar uma proteção RA stateless em um VLAN específico:

  1. Aplique uma política a uma VLAN.
  2. Configure a opção stateless na VLAN:

Para habilitar a guarda RA apátrida em todas as VLANs:

  1. Aplique uma política a todas as VLANs.

    Nota:

    Se uma política tiver sido configurada para um VLAN específico usando o comando set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name, essa política tem prioridade sobre a política aplicada globalmente a todas as VLANs.

  2. Configure a opção stateful em todas as VLANs:

Configurando uma interface como confiável ou bloqueada para burlar a inspeção por RA Guard

Você pode configurar uma interface como confiável ou bloqueada para burlar a inspeção de mensagens de RA pelo ra guard. Quando uma mensagem RA é recebida em uma interface confiável ou bloqueada, ela não está sujeita à validação contra a política configurada. Uma interface confiável encaminha todas as mensagens de RA. Uma interface bloqueada descarta todas as mensagens de RA.

  • Para configurar uma interface como confiável:
  • Para configurar uma interface como bloqueada: