Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

配置无状态 IPv6 路由器通告保护

无状态 IPv6 路由器通告 (RA) 保护使交换机能够检查传入的 RA 消息,并根据一组预定义的条件对其进行过滤。如果交换机验证 RA 消息的内容,则会将 RA 消息转发到其目标;否则,将丢弃 RA 消息。

在启用 IPv6 RA 防护之前,必须使用用于验证接口上接收的 RA 消息的条件配置策略。您可以将策略配置为根据 RA 消息是否满足条件来接受或丢弃这些消息。将标准与 RA 消息中包含的信息进行比较。如果策略的条件包括源地址或地址前缀,则必须在配置策略之前配置地址列表。

为 RA Guard 配置丢弃策略

您可以配置丢弃策略以删除来自预定义源的 RA 消息。您必须先配置一个或多个源地址或地址前缀列表,然后将其与策略关联。以下列表可以与丢弃策略相关联:

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

注意:

您可以在丢弃策略中包含多种类型的列表。如果收到的 RA 消息中包含的信息与任何一个列表参数匹配,则该 RA 消息将被丢弃。

要为 RA 防护配置丢弃策略,请执行以下操作:

  1. 定义一个或多个不允许的源地址或地址前缀列表,RA 防护将使用这些地址或地址前缀来过滤传入的 RA 消息。在配置中每行添加一个地址或地址前缀。

    • 要定义 IPv6 源地址列表,请执行以下操作:

    • 要定义 IPv6 地址前缀列表,请执行以下操作:

    • 要定义 MAC 源地址列表,请执行以下操作:

  2. 配置策略名称:
  3. 指定丢弃操作:
  4. 将策略与步骤 1 中定义的一个或多个列表相关联。例如,要丢弃与列表中的源 MAC 地址匹配的 RA 消息:

为 RA 防护配置接受策略

您可以将接受策略配置为基于特定条件转发 RA 消息。您可以将源地址或地址前缀的匹配列表配置为标准,也可以将其他匹配条件(如跃点限制、配置标志或路由器首选项)配置为标准。

可以使用选项 match-list 将以下列表与接受策略关联:

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

注意:

您可以将多种类型的匹配列表与接受策略相关联。如果配置了 match-all 子选项,则收到的 RA 消息必须与所有配置的匹配列表匹配才能转发;否则,该消息将被丢弃。如果配置了 match-any 该选项,则收到的 RA 消息必须与任何一个已配置的匹配列表匹配才能转发;如果它与任何配置的列表都不匹配,则将其丢弃。

可以使用选项 match-option 配置以下匹配条件:

  • hop-limit— 配置 RA 防护策略以验证传入 RA 消息的最小或最大跃点计数。

  • managed-config-flag— 配置 RA 防护策略以验证是否设置了传入 RA 消息的托管地址配置标志。

  • other-config-flag— 配置 RA 防护策略以验证是否设置了传入 RA 消息的其他配置标志。

  • router-preference-maximum— 配置 RA 防护策略以验证传入 RA 消息的默认路由器首选项参数值是否低于或等于指定的限制。

注意:

match-listmatch-option选项仅用于接受策略,而不用于丢弃策略。

要使用选项为 RA 防护 match-list 配置接受策略,请执行以下操作:

  1. 定义 RA 防护将用于过滤传入 RA 消息的授权源地址或地址前缀的一个或多个列表。在配置中每行添加一个地址或地址前缀。

    • 要定义 IPv6 源地址列表,请执行以下操作:

    • 要定义 IPv6 地址前缀列表,请执行以下操作:

    • 要定义 MAC 源地址列表,请执行以下操作:

  2. 指定策略名称:
  3. 指定接受操作:
  4. 指定 RA 防护是必须满足所有列表中的条件,还是必须满足 1 中配置的任何列表中的条件:

    • 要匹配所有列表,请执行以下操作:

    • 要匹配任何列表,请执行以下操作:

  5. 将接受策略与步骤 1 中配置的一个或多个列表相关联。例如:

要使用选项为 match-option RA 防护配置接受策略,请执行以下操作:

  1. 指定策略名称:

  2. 指定接受操作:

  3. 使用该 match-option 选项指定匹配条件。例如,要指定最大跃点数的匹配项:

在接口上启用无状态 RA 防护

您可以在接口上启用无状态 RA 防护。您必须先配置一个策略,该策略将应用于一个或多个接口上的传入 RA 消息。将策略应用于接口后,还必须在相应的 VLAN 上启用 RA 防护;否则,应用于接口的策略不会对收到的 RA 数据包产生任何影响。

要在接口上启用无状态 RA 防护,请执行以下操作:

  1. 将策略应用于接口:
  2. stateless在接口上配置选项:
  3. 在相应的 VLAN 上启用无状态 RA 防护:

在 VLAN 上启用无状态 RA 防护

您可以基于每个 VLAN 或为所有 VLAN 启用无状态 RA 保护。您必须首先配置一个策略,该策略用于验证处于学习状态的传入 RA 消息。

要在特定 VLAN 上启用无状态 RA 防护,请执行以下操作:

  1. 将策略应用于 VLAN。
  2. stateless在 VLAN 上配置选项:

要在所有 VLAN 上启用无状态 RA 防护,请执行以下操作:

  1. 将策略应用于所有 VLAN。

    注意:

    如果使用命令 set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name为特定 VLAN 配置了策略,则该策略优先于全局应用于所有 VLAN 的策略。

  2. 在所有 VLAN 上配置选项 stateful

将接口配置为受信任接口或已阻止接口以绕过 RA Guard 的检查

您可以将接口配置为受信任接口或已阻止接口,以绕过 RA 防护对 RA 消息的检查。在受信任或阻止的接口上收到 RA 消息时,不会根据配置的策略对其进行验证。可信接口转发所有 RA 消息。被阻止的接口会丢弃所有 RA 消息。

  • 要将接口配置为可信接口,请执行以下操作:
  • 要将接口配置为阻塞:

相关文档