Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

配置有状态 IPv6 路由器通告保护

有状态 IPv6 路由器通告 (RA) 保护使交换机能够在特定时间段内了解 RA 消息的来源。在此期间,已知交换机处于学习状态,将存储收到的 RA 消息属性中包含的信息,并与策略进行比较。在学习期结束时,交换机会记录哪些接口连接到具有有效 IPv6 路由器的链路。如果没有有效的 IPv6 路由器连接到接换机会将接口从学习状态动态转换为阻止状态。转换到阻止状态后收到的后续 RA 消息将被丢弃。如果有有效的 IPv6 路由器连接到接口,接口将转换为转发状态。在转发状态下,将根据配置的策略验证的 RA 消息进行转发。

您可以通过在接口上静态配置转发或阻塞状态来覆盖动态状态转换。在接口上静态配置状态时,只能通过配置来更改状态。例如,如果在接口上配置转发状态,则接口将保持转发状态,直到您在该接口上配置其他状态。

必须先配置策略,然后才能在接口或 VLAN 上启用 IPv6 RA 防护。有状态 RA 防护使用该策略来确定接口上收到的 RA 消息是否来自有效的发送方。您可以将策略配置为接受或丢弃满足预定义条件的 RA 消息。如果策略的条件包括源地址或地址前缀,则必须在配置策略之前配置地址列表。

在接口上启用有状态 RA 防护

您可以在接口上启用有状态 RA 防护。您必须首先配置一个策略,该策略用于在学习期间验证传入的 RA 消息。将 RA 防护策略应用于接口后,必须在相应的 VLAN 上启用 RA 防护。

要在接口上启用有状态 RA 防护,请执行以下操作:

  1. 将策略应用于接口。
  2. stateful在接口上配置选项:
  3. 在相应的 VLAN 上启用有状态 RA 防护:

在 VLAN 上启用有状态 RA 防护

您可以基于每个 VLAN 或为所有 VLAN 启用有状态 RA 保护。您必须首先配置一个策略,该策略用于在学习状态期间验证传入的 RA 消息。

要在特定 VLAN 上启用有状态 RA 防护,请执行以下操作:

  1. 将策略应用于 VLAN。
  2. stateful在 VLAN 上配置选项:

要在所有 VLAN 上启用有状态 RA 防护,请执行以下操作:

  1. 将策略应用于所有 VLAN。

    注意:

    如果使用命令 set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name为特定 VLAN 配置了策略,则该策略优先于全局应用于所有 VLAN 的策略。

  2. 在所有 VLAN 上配置选项 stateful

在接口上配置学习状态

首次启用有状态 RA 防护时,默认状态为 关闭。处于关闭状态的接口就像 RA 防护不可用一样运行。若要将接口转换为学习状态,必须请求在接口上学习。处于学习状态的接口会主动从收到的 RA 消息中获取信息。

要在接口上配置有状态 RA 防护学习:

  1. 请求在界面上学习。
  2. 配置学习期(以秒为单位)。
  3. 配置要对学习期间收到的入口 RA 消息执行的操作。要转发学习期间收到的 RA 消息,请在接口上配置转发。

    • 要在学习期间转发 RA 消息,请执行以下操作:

    • 要在学习期间阻止 RA 消息,请执行以下操作:

在接口上配置转发状态

处于转发状态的接口接受可根据配置的策略进行验证的入口 RA 消息,并将其转发至目标。接口可以直接从学习状态动态转换到转发状态,也可以在接口上静态配置转发状态。

要在接口上配置转发状态:

配置接口上的阻塞状态

处于阻止状态的接口会阻止入口 RA 消息。接口可以直接从学习状态动态过渡到阻塞状态,也可以在接口上静态配置阻塞状态。静态配置为处于阻止状态的接口将保持阻止状态,直到在该接口上配置了另一种状态。

要在接口上配置阻塞状态,请执行以下操作:

相关文档