Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Informationen zum IPv6-Router Advertisement Guard

In einer IPv6-Bereitstellung melden Router regelmäßig Multicast Router Advertisement (RA)-Nachrichten, um ihre Verfügbarkeit anzukündigen und Informationen an benachbarte Knoten weiterzuleiten, die eine automatische Konfiguration im Netzwerk ermöglichen. RA-Nachrichten werden vom Neighbor Discovery Protocol (NDP) verwendet, um Nachbarn zu erkennen, IPv6-Präfixe zu werben, die Adressenbereitstellung zu unterstützen und Verbindungsparameter wie MTU (Maximum Transmission Unit), Hop-Limit, Werbeintervalle und Lebensdauer gemeinsam zu nutzen. Hosts hören RA-Nachrichten für die automatische Konfiguration von IPv6-Adressen und die Erkennung link-lokaler Adressen der benachbarten Router ab und können auch eine Router Solicitation (RS)-Nachricht senden, um sofortige Werbung anzufordern.

RA-Nachrichten sind ungesichert, was sie anfällig für Angriffe auf das Netzwerk macht, die das Spoofing (oder Forging) von Link-Layer-Adressen beinhalten. Außerdem kann eine unbeabsichtigte Fehlkonfiguration durch Benutzer oder Administratoren zum Vorhandensein unerwünschter oder unbefugter RA-Nachrichten führen, die betriebliche Probleme für benachbarte Hosts verursachen können. Sie können den IPv6 Router Advertisement (RA)-Schutz konfigurieren, um Ihr Netzwerk vor unbefugten RA-Nachrichten zu schützen, die von nicht autorisierten oder nicht sachgemäß konfigurierten Routern generiert werden, die sich mit dem Netzwerksegment verbinden.

RA Guard validiert RA-Nachrichten basierend darauf, ob sie bestimmte Kriterien erfüllen, die auf dem Switch mithilfe von Richtlinien konfiguriert werden. RA Guard prüft RA-Nachrichten und vergleicht die in den Nachrichtenattributen enthaltenen Informationen mit der konfigurierten Richtlinie. Je nach Richtlinie gibt RA Guard die RA-Nachrichten, die den Bedingungen entsprechen, entweder ab oder leitet sie weiter.

Die folgenden In RA-Nachrichtenattributen enthaltenen Informationen können von RA Guard verwendet werden, um die Quelle der RA-Nachricht zu validieren:

  • Quell-MAC-Adresse

  • Quell-IPv6-Adresse

  • Quell-IPv6-Adressen-Präfix

  • Hop-Count-Limit

  • Routerpräferenzpriorität

  • Flag für verwaltete Konfiguration

  • Andere Konfigurations-Flag

Sie können RA Guard so konfigurieren, dass sie entweder im zustandslosen oder zustandsbehafteten Modus betrieben werden. Im statuslosen Modus wird im Standardstatus eine RA-Nachricht, die an einer Schnittstelle empfangen wird, untersucht und gefiltert, basierend darauf, ob sie mit den in der Richtlinie konfigurierten Bedingungen übereinstimmt, die an diese Schnittstelle angeschlossen sind. Wenn der Inhalt der RA-Nachricht validiert wird, leitet sie die RA-Nachricht an ihr Ziel weiter; Andernfalls wird die RA-Nachricht abgebrochen. Der Status einer Schnittstelle, die im statuslosen Modus arbeitet, kann durch Konfiguration geändert werden. Wenn die Schnittstelle als vertrauenswürdig konfiguriert ist, werden alle RA-Nachrichten weitergeleitet, ohne dass sie mit der Richtlinie validiert werden. Wenn die Schnittstelle als blockiert konfiguriert ist, werden alle RA-Nachrichten abgebrochen, ohne dass sie mit der Richtlinie validiert werden.

Im Statusmodus kann eine Schnittstelle dynamisch von einem Zustand zu einem anderen wechseln, basierend auf Informationen, die während einer Lernphase gesammelt werden. Während dieses Zeitraums, der als Lernstatus bekannt ist, werden eingehende RA-Nachrichten anhand einer Richtlinie validiert, um zu bestimmen, welche Schnittstellen an Verbindungen mit gültigen IPv6-Routern angeschlossen sind. Am Ende des Lernzeitraums werden Schnittstellen, die an legitime Sender von RA-Nachrichten angehängt sind, dynamisch in den Weiterleitungsstatus übergehen, in dem RA-Nachrichten weitergeleitet werden, wenn sie anhand einer Richtlinie validiert werden können. Schnittstellen, die während der Lernphase keine gültigen RA-Nachrichten empfangen, wechseln dynamisch zu dem blockierten Zustand, in dem alle eingehenden RA-Nachrichten abgebrochen werden.

Tabelle 1 fasst die Zustände des IPv6-RA-Guard für den zustandslosen und zustandsbehafteten Modus zusammen.

Tabelle 1: IPv6 RA Guard-Status

Staat

Beschreibung

Modus

Aus

Die Schnittstelle funktioniert so, als wäre RA Guard nicht verfügbar.

Zustandslos/zustandsbehaftet

Vertrauenswürdigen

Die Schnittstelle leitet eingehende RA-Nachrichten weiter, wenn empfangene RA-Nachrichten mit den konfigurierten Richtlinienregeln validiert werden; Andernfalls wird die RA-Nachricht verwirft. Nicht vertrauenswürdiger Status ist der Standardstatus einer für RA Guard aktivierten Schnittstelle.

Zustandslos/zustandsbehaftet

Blockiert

Die Schnittstelle blockiert eingehende RA-Nachrichten.

Zustandslos/zustandsbehaftet

Weiterleitung

Die Schnittstelle leitet eingehende RA-Nachrichten weiter, wenn empfangene RA-Nachrichten mit den konfigurierten Richtlinienregeln validiert werden; Andernfalls werden die RA-Nachrichten abgeordnet.

Stateful

Lernen

Der Switch erfasst aktiv Informationen über das mit der Schnittstelle verbundene IPv6-Routinggerät. Der Lernprozess erfolgt über einen vordefinierten Zeitraum.

Stateful

Vertrauenswürdigen

Die Schnittstelle leitet alle RA-Nachrichten direkt weiter, ohne sie gegen die Richtlinie zu validieren.

Zustandslos/zustandsbehaftet

Abbildung 1 zeigt den Übergang von Zuständen, wenn stateful RA Guard aktiviert ist. Die auf den Abbildungen dargestellten Zahlen werden im folgenden Text beschrieben; sind dies keine sequenziellen Schritte.

Abbildung 1: Stateful RA Guard State Transitions Stateful RA Guard State Transitions
  1. Wenn RA Guard auf einer Schnittstelle aktiviert ist, wird er vom off-Status in den nicht vertrauenswürdigen Zustand verlagert. Der nicht vertrauenswürdige Status ist der Standardstatus einer Schnittstelle, die für RA Guard aktiviert ist.

  2. Wenn der Befehl, der den Lernstatus anfordert, ausgegeben wird, wird die Schnittstelle vom Off-Status in den Lernstatus verschoben.

  3. Ra-Nachrichten, die während des Lernstatus empfangen werden, werden mit der konfigurierten Richtlinie verglichen.

  4. Wenn RA-Nachrichten mit der konfigurierten Richtlinie validiert werden, wird die Schnittstelle in den Weiterleitungsstatus verlagert.

  5. Wenn RA-Nachrichten nicht mit der konfigurierten Richtlinie validiert werden, wird die Schnittstelle in den blockierten Zustand verschoben.

  6. Wenn mark-interface trust sie auf der validierten Schnittstelle konfiguriert ist, wird sie von einem Weiterleitungsstatus in einen vertrauenswürdigen Zustand verschoben.

  7. Wenn mark-interface trust sie auf der blockierten Schnittstelle konfiguriert ist, wird sie von einem blockierten Zustand in einen vertrauenswürdigen Zustand verschoben.

  8. Wenn das Lernen auf einer blockierten Schnittstelle angefordert wird, wird die Schnittstelle vom blockierten Zustand zum Lernstatus verschoben.

  9. Wenn eine Schnittstelle im standardmäßig nicht vertrauenswürdigen Zustand als mark-interface trustkonfiguriert ist, wird sie direkt in den vertrauenswürdigen Zustand verschoben. In diesem Fall kann eine Richtlinie auf dieser Schnittstelle nicht angewendet werden.

  10. Wenn die mark-interface trust Konfiguration gelöscht wird und keine gültigen RAs an der Schnittstelle empfangen werden, wird die Schnittstelle in den blockierten Zustand verschoben.

  11. Wenn der Befehl, der den Weiterleitungsstatus anfordert, ausgegeben wird, wird die Schnittstelle direkt von blockiert auf den Weiterleitungsstatus verschoben.

  12. Wenn der Befehl ausgegeben wird, der den Blockierungsstatus anfordert, wird die Schnittstelle direkt von der Weiterleitung zu blockiert verschoben.

  13. Wenn eine Schnittstelle im standardmäßig nicht vertrauenswürdigen Zustand als mark-interface blockkonfiguriert ist, wird sie direkt in den blockierten Zustand verschoben. In diesem Fall kann eine Richtlinie auf dieser Schnittstelle nicht angewendet werden.