Informationen zum IPv6-Router Advertisement Guard
In einer IPv6-Bereitstellung melden Router regelmäßig Multicast Router Advertisement (RA)-Nachrichten, um ihre Verfügbarkeit anzukündigen und Informationen an benachbarte Knoten weiterzuleiten, die eine automatische Konfiguration im Netzwerk ermöglichen. RA-Nachrichten werden vom Neighbor Discovery Protocol (NDP) verwendet, um Nachbarn zu erkennen, IPv6-Präfixe zu werben, die Adressenbereitstellung zu unterstützen und Verbindungsparameter wie MTU (Maximum Transmission Unit), Hop-Limit, Werbeintervalle und Lebensdauer gemeinsam zu nutzen. Hosts hören RA-Nachrichten für die automatische Konfiguration von IPv6-Adressen und die Erkennung link-lokaler Adressen der benachbarten Router ab und können auch eine Router Solicitation (RS)-Nachricht senden, um sofortige Werbung anzufordern.
RA-Nachrichten sind ungesichert, was sie anfällig für Angriffe auf das Netzwerk macht, die das Spoofing (oder Forging) von Link-Layer-Adressen beinhalten. Außerdem kann eine unbeabsichtigte Fehlkonfiguration durch Benutzer oder Administratoren zum Vorhandensein unerwünschter oder unbefugter RA-Nachrichten führen, die betriebliche Probleme für benachbarte Hosts verursachen können. Sie können den IPv6 Router Advertisement (RA)-Schutz konfigurieren, um Ihr Netzwerk vor unbefugten RA-Nachrichten zu schützen, die von nicht autorisierten oder nicht sachgemäß konfigurierten Routern generiert werden, die sich mit dem Netzwerksegment verbinden.
RA Guard validiert RA-Nachrichten basierend darauf, ob sie bestimmte Kriterien erfüllen, die auf dem Switch mithilfe von Richtlinien konfiguriert werden. RA Guard prüft RA-Nachrichten und vergleicht die in den Nachrichtenattributen enthaltenen Informationen mit der konfigurierten Richtlinie. Je nach Richtlinie gibt RA Guard die RA-Nachrichten, die den Bedingungen entsprechen, entweder ab oder leitet sie weiter.
Die folgenden In RA-Nachrichtenattributen enthaltenen Informationen können von RA Guard verwendet werden, um die Quelle der RA-Nachricht zu validieren:
Quell-MAC-Adresse
Quell-IPv6-Adresse
Quell-IPv6-Adressen-Präfix
Hop-Count-Limit
Routerpräferenzpriorität
Flag für verwaltete Konfiguration
Andere Konfigurations-Flag
Sie können RA Guard so konfigurieren, dass sie entweder im zustandslosen oder zustandsbehafteten Modus betrieben werden. Im statuslosen Modus wird im Standardstatus eine RA-Nachricht, die an einer Schnittstelle empfangen wird, untersucht und gefiltert, basierend darauf, ob sie mit den in der Richtlinie konfigurierten Bedingungen übereinstimmt, die an diese Schnittstelle angeschlossen sind. Wenn der Inhalt der RA-Nachricht validiert wird, leitet sie die RA-Nachricht an ihr Ziel weiter; Andernfalls wird die RA-Nachricht abgebrochen. Der Status einer Schnittstelle, die im statuslosen Modus arbeitet, kann durch Konfiguration geändert werden. Wenn die Schnittstelle als vertrauenswürdig konfiguriert ist, werden alle RA-Nachrichten weitergeleitet, ohne dass sie mit der Richtlinie validiert werden. Wenn die Schnittstelle als blockiert konfiguriert ist, werden alle RA-Nachrichten abgebrochen, ohne dass sie mit der Richtlinie validiert werden.
Im Statusmodus kann eine Schnittstelle dynamisch von einem Zustand zu einem anderen wechseln, basierend auf Informationen, die während einer Lernphase gesammelt werden. Während dieses Zeitraums, der als Lernstatus bekannt ist, werden eingehende RA-Nachrichten anhand einer Richtlinie validiert, um zu bestimmen, welche Schnittstellen an Verbindungen mit gültigen IPv6-Routern angeschlossen sind. Am Ende des Lernzeitraums werden Schnittstellen, die an legitime Sender von RA-Nachrichten angehängt sind, dynamisch in den Weiterleitungsstatus übergehen, in dem RA-Nachrichten weitergeleitet werden, wenn sie anhand einer Richtlinie validiert werden können. Schnittstellen, die während der Lernphase keine gültigen RA-Nachrichten empfangen, wechseln dynamisch zu dem blockierten Zustand, in dem alle eingehenden RA-Nachrichten abgebrochen werden.
Tabelle 1 fasst die Zustände des IPv6-RA-Guard für den zustandslosen und zustandsbehafteten Modus zusammen.
Staat |
Beschreibung |
Modus |
---|---|---|
Aus |
Die Schnittstelle funktioniert so, als wäre RA Guard nicht verfügbar. |
Zustandslos/zustandsbehaftet |
Vertrauenswürdigen |
Die Schnittstelle leitet eingehende RA-Nachrichten weiter, wenn empfangene RA-Nachrichten mit den konfigurierten Richtlinienregeln validiert werden; Andernfalls wird die RA-Nachricht verwirft. Nicht vertrauenswürdiger Status ist der Standardstatus einer für RA Guard aktivierten Schnittstelle. |
Zustandslos/zustandsbehaftet |
Blockiert |
Die Schnittstelle blockiert eingehende RA-Nachrichten. |
Zustandslos/zustandsbehaftet |
Weiterleitung |
Die Schnittstelle leitet eingehende RA-Nachrichten weiter, wenn empfangene RA-Nachrichten mit den konfigurierten Richtlinienregeln validiert werden; Andernfalls werden die RA-Nachrichten abgeordnet. |
Stateful |
Lernen |
Der Switch erfasst aktiv Informationen über das mit der Schnittstelle verbundene IPv6-Routinggerät. Der Lernprozess erfolgt über einen vordefinierten Zeitraum. |
Stateful |
Vertrauenswürdigen |
Die Schnittstelle leitet alle RA-Nachrichten direkt weiter, ohne sie gegen die Richtlinie zu validieren. |
Zustandslos/zustandsbehaftet |
Abbildung 1 zeigt den Übergang von Zuständen, wenn stateful RA Guard aktiviert ist. Die auf den Abbildungen dargestellten Zahlen werden im folgenden Text beschrieben; sind dies keine sequenziellen Schritte.

Wenn RA Guard auf einer Schnittstelle aktiviert ist, wird er vom off-Status in den nicht vertrauenswürdigen Zustand verlagert. Der nicht vertrauenswürdige Status ist der Standardstatus einer Schnittstelle, die für RA Guard aktiviert ist.
Wenn der Befehl, der den Lernstatus anfordert, ausgegeben wird, wird die Schnittstelle vom Off-Status in den Lernstatus verschoben.
Ra-Nachrichten, die während des Lernstatus empfangen werden, werden mit der konfigurierten Richtlinie verglichen.
Wenn RA-Nachrichten mit der konfigurierten Richtlinie validiert werden, wird die Schnittstelle in den Weiterleitungsstatus verlagert.
Wenn RA-Nachrichten nicht mit der konfigurierten Richtlinie validiert werden, wird die Schnittstelle in den blockierten Zustand verschoben.
Wenn
mark-interface trust
sie auf der validierten Schnittstelle konfiguriert ist, wird sie von einem Weiterleitungsstatus in einen vertrauenswürdigen Zustand verschoben.Wenn
mark-interface trust
sie auf der blockierten Schnittstelle konfiguriert ist, wird sie von einem blockierten Zustand in einen vertrauenswürdigen Zustand verschoben.Wenn das Lernen auf einer blockierten Schnittstelle angefordert wird, wird die Schnittstelle vom blockierten Zustand zum Lernstatus verschoben.
Wenn eine Schnittstelle im standardmäßig nicht vertrauenswürdigen Zustand als
mark-interface trust
konfiguriert ist, wird sie direkt in den vertrauenswürdigen Zustand verschoben. In diesem Fall kann eine Richtlinie auf dieser Schnittstelle nicht angewendet werden.Wenn die
mark-interface trust
Konfiguration gelöscht wird und keine gültigen RAs an der Schnittstelle empfangen werden, wird die Schnittstelle in den blockierten Zustand verschoben.Wenn der Befehl, der den Weiterleitungsstatus anfordert, ausgegeben wird, wird die Schnittstelle direkt von blockiert auf den Weiterleitungsstatus verschoben.
Wenn der Befehl ausgegeben wird, der den Blockierungsstatus anfordert, wird die Schnittstelle direkt von der Weiterleitung zu blockiert verschoben.
Wenn eine Schnittstelle im standardmäßig nicht vertrauenswürdigen Zustand als
mark-interface block
konfiguriert ist, wird sie direkt in den blockierten Zustand verschoben. In diesem Fall kann eine Richtlinie auf dieser Schnittstelle nicht angewendet werden.