Grundlegendes zum IPv6-Router Advertisement Guard

In einer IPv6-Bereitstellung senden Router in regelmäßigen Abständen Multicast-RA-Nachrichten (Router Advertisement), um ihre Verfügbarkeit anzukündigen und Informationen an benachbarte Knoten zu übermitteln, sodass sie automatisch im Netzwerk konfiguriert werden können. RA-Nachrichten werden vom Neighbor Discovery Protocol (NDP) verwendet, um Nachbarn zu erkennen, IPv6-Präfixe anzukündigen, die Adressbereitstellung zu unterstützen und Verbindungsparameter wie maximale Übertragungseinheit (MTU), Hop-Limit, Ankündigungsintervalle und Lebensdauer freizugeben. Hosts lauschen auf RA-Nachrichten für die automatische Konfiguration von IPv6-Adressen und die Erkennung von Link-Local-Adressen der benachbarten Router und können auch eine Router Solicitation (RS)-Nachricht senden, um sofortige Ankündigungen anzufordern.

RA-Nachrichten sind ungesichert, was sie anfällig für Angriffe auf das Netzwerk macht, bei denen Link-Layer-Adressen gefälscht (oder gefälscht) werden. Außerdem kann eine unbeabsichtigte Fehlkonfiguration durch Benutzer oder Administratoren zum Vorhandensein unerwünschter oder nicht autorisierter RA-Nachrichten führen, die Betriebsprobleme für benachbarte Hosts verursachen können. Sie können den IPv6-Router-Advertisement-Schutz (RA) konfigurieren, um Ihr Netzwerk vor nicht autorisierten RA-Nachrichten zu schützen, die von nicht autorisierten oder falsch konfigurierten Routern generiert werden, die eine Verbindung mit dem Netzwerksegment herstellen.

RA Guard validiert RA-Nachrichten auf der Grundlage, ob sie bestimmte Kriterien erfüllen, die auf dem Switch mithilfe von Richtlinien konfiguriert werden. RA Guard überprüft RA-Nachrichten und vergleicht die in den Nachrichtenattributen enthaltenen Informationen mit der konfigurierten Richtlinie. Je nach Richtlinie verwirft oder leitet RA Guard die RA-Meldungen, die den Bedingungen entsprechen, weiter.

Die folgenden Informationen, die in RA-Nachrichtenattributen enthalten sind, können vom RA-Wächter verwendet werden, um die Quelle der RA-Nachricht zu überprüfen:

• MAC-Quelladresse

• IPv6-Quelladresse

• IPv6-Quelladressenpräfix

• Limit für die Anzahl der Hopfen

• Priorität der Router-Präferenz

• Flag für verwaltete Konfiguration

• Flag für andere Konfiguration

Sie können den RA-Wächter so konfigurieren, dass er entweder im zustandslosen oder im zustandsbehafteten Modus ausgeführt wird. Im zustandslosen Modus wird im Standardzustand eine RA-Nachricht, die auf einer Schnittstelle empfangen wird, untersucht und danach gefiltert, ob sie den Bedingungen entspricht, die in der an diese Schnittstelle angefügten Richtlinie konfiguriert sind. Wenn der Inhalt der RA-Nachricht überprüft wird, leitet sie die RA-Nachricht an ihr Ziel weiter. Andernfalls wird die RA-Nachricht verworfen. Der Status einer Schnittstelle, die im zustandslosen Modus arbeitet, kann durch Konfiguration geändert werden. Wenn die Schnittstelle als vertrauenswürdig konfiguriert ist, werden alle RA-Nachrichten weitergeleitet, ohne dass sie anhand der Richtlinie validiert werden. Wenn die Schnittstelle als blockiert konfiguriert ist, werden alle RA-Nachrichten verworfen, ohne dass sie anhand der Richtlinie überprüft wurden.

Im zustandsbehafteten Modus kann eine Schnittstelle basierend auf den während einer Lernphase gesammelten Informationen dynamisch von einem Zustand in einen anderen übergehen. Während dieses Zeitraums, der als Lernzustand bezeichnet wird, werden eingehende RA-Nachrichten anhand einer Richtlinie validiert, um zu bestimmen, welche Schnittstellen an Links mit gültigen IPv6-Routern angehängt sind. Am Ende des Lernzeitraums wechseln Schnittstellen, die an legitime Absender von RA-Nachrichten angehängt sind, dynamisch in den Weiterleitungsstatus , in dem RA-Nachrichten weitergeleitet werden, wenn sie anhand einer Richtlinie validiert werden können. Schnittstellen, die während des Lernzeitraums keine gültigen RA-Nachrichten empfangen, wechseln dynamisch in den blockierten Zustand, in dem alle eingehenden RA-Nachrichten verworfen werden.

Tabelle 1 fasst die Zustände des IPv6-RA-Guards sowohl für den zustandslosen als auch für den zustandsbehafteten Modus zusammen.

Tabelle 1: IPv6-RA-Schutzstatus

Zustand	Beschreibung	Modus
Aus	Die Schnittstelle funktioniert so, als ob der RA-Schutz nicht verfügbar wäre.	Zustandslos/zustandsbehaftet
Vertrauenswürdigen	Die Schnittstelle leitet eingehende RA-Nachrichten weiter, wenn empfangene RA-Nachrichten anhand der konfigurierten Richtlinienregeln überprüft werden. Andernfalls wird die RA-Nachricht gelöscht. Der nicht vertrauenswürdige Status ist der Standardstatus einer Schnittstelle, die für den RA-Schutz aktiviert ist.	Zustandslos/zustandsbehaftet
Gesperrt	Die Schnittstelle blockiert eingehende RA-Nachrichten.	Zustandslos/zustandsbehaftet
Versand	Die Schnittstelle leitet eingehende RA-Nachrichten weiter, wenn empfangene RA-Nachrichten anhand der konfigurierten Richtlinienregeln überprüft werden. Andernfalls werden die RA-Nachrichten gelöscht.	Zustandsorientiert
Lernen	Der Switch erfasst aktiv Informationen über das IPv6-Routing-Gerät, das mit der Schnittstelle verbunden ist. Der Lernprozess findet über einen vordefinierten Zeitraum statt.	Zustandsorientiert
Getraut	Die Schnittstelle leitet alle RA-Nachrichten direkt weiter, ohne sie anhand der Richtlinie zu validieren.	Zustandslos/zustandsbehaftet

Abbildung 1 veranschaulicht den Übergang der Zustände, wenn der zustandsbehaftete RA-Schutz aktiviert ist. Die auf den Abbildungen gezeigten Zahlen werden im folgenden Text beschrieben. Hierbei handelt es sich nicht um sequenzielle Schritte.

1. Wenn der RA-Schutz auf einer Schnittstelle aktiviert ist, wechselt er vom ausgeschalteten Zustand in den nicht vertrauenswürdigen Zustand. Der nicht vertrauenswürdige Status ist der Standardstatus einer Schnittstelle, die für den RA-Schutz aktiviert ist.

2. Wenn der Befehl, der den Lernzustand anfordert, ausgegeben wird, wird die Schnittstelle vom ausgeschalteten Zustand in den Lernzustand versetzt.

3. RA-Nachrichten, die während des Lernzustands empfangen werden, werden mit der konfigurierten Richtlinie verglichen.

4. Wenn RA-Nachrichten anhand der konfigurierten Richtlinie validiert werden, wechselt die Schnittstelle in den Weiterleitungsstatus .

5. Wenn RA-Nachrichten nicht anhand der konfigurierten Richtlinie validiert werden , wechselt die Schnittstelle in den blockierten Zustand.

6. Wenn mark-interface trust auf der validierten Schnittstelle konfiguriert ist, wechselt sie vom Weiterleitungsstatus in den vertrauenswürdigen Zustand.

7. Wenn mark-interface trust auf der blockierten Schnittstelle konfiguriert ist, wechselt sie vom blockierten Zustand in den vertrauenswürdigen Zustand.

8. Wenn Lernen auf einer blockierten Schnittstelle angefordert wird, wechselt die Schnittstelle vom blockierten Zustand in den Lernzustand .

9. Wenn eine Schnittstelle im nicht vertrauenswürdigen Standardzustand als mark-interface trustkonfiguriert ist, wechselt sie direkt in den vertrauenswürdigen Zustand. In diesem Fall kann eine Richtlinie nicht auf diese Schnittstelle angewendet werden.

10. Wenn die mark-interface trust Konfiguration gelöscht wird und keine gültigen RAs auf der Schnittstelle empfangen werden, wechselt die Schnittstelle in den blockierten Zustand.

11. Wenn der Befehl, der den Weiterleitungsstatus anfordert, ausgegeben wird, wechselt die Schnittstelle direkt vom blockierten in den Weiterleitungsstatus .

12. Wenn der Befehl, der den Sperrstatus anfordert, ausgegeben wird, wechselt die Schnittstelle direkt von der Weiterleitung zur Sperrung.

13. Wenn eine Schnittstelle im standardmäßigen nicht vertrauenswürdigen Zustand als mark-interface blockkonfiguriert ist, wechselt sie direkt in den blockierten Zustand. In diesem Fall kann eine Richtlinie nicht auf diese Schnittstelle angewendet werden.