Configuração do guarda de anúncios de roteador IPv6 sem estado
O guarda de anúncio de roteador IPv6 (RA) sem estado permite que o switch examine as mensagens ra de entrada e as filtra com base em um conjunto predefinido de critérios. Se o switch validar o conteúdo da mensagem ra, ele encaminha a mensagem de RA para o seu destino; caso contrário, a mensagem de RA é descartada.
Antes de habilitar o guarda de RA IPv6, você deve configurar uma política com os critérios a serem usados para validar as mensagens de RA recebidas em uma interface. Você pode configurar a política para aceitar ou descartar mensagens de RA com base em se elas atendem aos critérios. Os critérios são comparados com as informações incluídas nas mensagens de RA. Se os critérios da política incluirem endereços de origem ou prefixos de endereço, você deve configurar uma lista dos endereços antes de configurar a política.
Configuração de uma política de descarte para o RA Guard
Você pode configurar uma política de descarte para soltar mensagens RA de fontes predefinidas. Primeiro, você deve configurar uma lista ou lista dos endereços de origem ou prefixos de endereço e, em seguida, associá-los a uma política. As listas a seguir podem ser associadas à política de descarte:
source-ip-address-list
source-mac-address-list
prefix-list-name
Você pode incluir mais de um tipo de lista em uma política de descarte. Se as informações contidas em uma mensagem de RA recebida correspondem a qualquer um dos parâmetros da lista, essa mensagem de RA será descartada.
Para configurar uma política de descarte para o guarda RA:
Configuração de uma política de aceitação para a ra guard
Você pode configurar uma política de aceitação para encaminhar mensagens de RA com base em determinados critérios. Você pode configurar listas de correspondências de endereço de origem ou prefixos de endereço conforme os critérios, ou pode configurar outras condições de correspondência, como limite de salto, bandeiras de configuração ou preferência do roteador conforme os critérios.
As listas a seguir podem ser associadas a uma política de aceitação usando a opção match-list
:
source-ip-address-list
source-mac-address-list
prefix-list-name
Você pode associar mais de um tipo de lista de correspondência com uma política de aceitação. Se a match-all
subopção estiver configurada, uma mensagem de RA recebida deve combinar com todas as listas de correspondência configuradas para ser encaminhada; caso contrário, ela é descartada. Se a opção match-any
estiver configurada, uma mensagem de RA recebida deve combinar com qualquer uma das listas de partidas configuradas para ser encaminhada; se não corresponder a nenhuma das listas configuradas, ela será descartada.
As seguintes condições de jogo podem ser configuradas usando a opção match-option
:
hop-limit
— Configure a política de proteção de RA para verificar a contagem mínima ou máxima de salto para uma mensagem ra de entrada.managed-config-flag
— Configure a política de proteção de RA para verificar se a bandeira de configuração de endereço gerenciado de uma mensagem RA de entrada está definida.other-config-flag
— Configure a política de proteção de RA para verificar se a outra bandeira de configuração de uma mensagem RA de entrada está definida.router-preference-maximum
— Configure a política de proteção de RA para verificar se o valor de parâmetro de preferência do roteador padrão de uma mensagem RA de entrada é menor do que ou igual a um limite especificado.
As match-list
opções e as match-option
opções são usadas apenas em políticas de aceitação, não em políticas de descarte.
Configurar uma política de aceitação para proteção de RA usando a opção match-list
:
Para configurar uma política de aceitação para proteção de RA usando a opção match-option
:
Especifique o nome da política:
[edit] user@switch# set forwarding-options access-security router-advertisement-guard policy policy-name
Especifique a ação de aceitação:
[edit forwarding-options access-security router-advertisement-guard policy policy-name] user@switch# set accept
Especifique as condições de correspondência usando a opção
match-option
. Por exemplo, especificar uma correspondência no número máximo de saltos:[edit forwarding-options access-security router-advertisement-guard policy policy-name accept] user@switch# set match-option hop-limit maximum value
Habilitando a guarda RA sem estado em uma interface
Você pode habilitar um guarda RA sem estado em uma interface. Você deve primeiro configurar uma política, que é aplicada a mensagens RA de entrada na interface ou interfaces. Depois de aplicar uma política a uma interface, você também deve ativar o guarda RA na VLAN correspondente; caso contrário, a política aplicada à interface não tem nenhum impacto nos pacotes de RA recebidos.
Para habilitar um guarda RA apátrida em uma interface:
Habilitando a Guarda RA apátrida em uma VLAN
Você pode habilitar um guarda RA sem estado por VLAN ou para todas as VLANs. Você deve primeiro configurar uma política, que é usada para validar as mensagens de RA recebidas no estado de aprendizado.
Para habilitar um guarda RA apátrida em uma VLAN específica:
Para habilitar a guarda RA sem estado em todas as VLANs:
Aplique uma política a todas as VLANs.
[edit] user@switch# set forwarding-options access-security router-advertisement-guard vlans all policy policy-name
Nota:Se uma política tiver sido configurada para uma VLAN específica usando o comando
set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name
, essa política tem prioridade sobre a política aplicada globalmente a todas as VLANs.Configure a opção
stateful
em todas as VLANs:[edit forwarding-options access-security router-advertisement-guard vlans all policy policy-name] user@switch# set stateful
Configurando uma interface como confiável ou bloqueada para ignorar a inspeção pelo RA Guard
Você pode configurar uma interface como confiável ou bloqueada para ignorar a inspeção de mensagens ra pelo guarda ra. Quando uma mensagem de RA é recebida em uma interface confiável ou bloqueada, ela não está sujeita à validação contra a política configurada. Uma interface confiável encaminha todas as mensagens de RA. Uma interface bloqueada descarta todas as mensagens de RA.