Grundlegendes zum IPv6-Router-Werbeschutz

In einer IPv6-Bereitstellung senden Router regelmäßig RA-Nachrichten (Multicast Router Advertisement), um ihre Verfügbarkeit anzukündigen und Informationen an benachbarte Knoten zu übermitteln, die eine automatische Konfiguration im Netzwerk ermöglichen. RA-Nachrichten werden vom Neighbor Discovery Protocol (NDP) verwendet, um Nachbarn zu erkennen, IPv6-Präfixe anzukündigen, bei der Adressbereitstellung zu helfen und Verbindungsparameter wie maximale Übertragungseinheit (MTU), Hop-Limit, Ankündigungsintervalle und Lebensdauer gemeinsam zu nutzen. Hosts lauschen auf RA-Nachrichten für die automatische Konfiguration von IPv6-Adressen und die Erkennung von verbindungslokalen Adressen der benachbarten Router und können auch eine RS-Nachricht (Router Solicitation) senden, um sofortige Ankündigungen anzufordern.

RA-Nachrichten sind ungesichert, was sie anfällig für Angriffe auf das Netzwerk macht, bei denen Link Layer-Adressen gefälscht (oder gefälscht) werden. Auch unbeabsichtigte Fehlkonfigurationen durch Benutzer oder Administratoren können zum Vorhandensein unerwünschter oder unbefugter RA-Meldungen führen, was zu Betriebsproblemen für benachbarte Hosts führen kann. Sie können den IPv6-Router-Advertisement-Schutz (RA) konfigurieren, um Ihr Netzwerk vor nicht autorisierten RA-Nachrichten zu schützen, die von nicht autorisierten oder falsch konfigurierten Routern generiert werden, die eine Verbindung zum Netzwerksegment herstellen.

RA-Schutz validiert RA-Meldungen auf der Grundlage davon, ob sie bestimmte Kriterien erfüllen, die auf dem Switch mithilfe von Richtlinien konfiguriert werden. RA Guard überprüft RA-Meldungen und vergleicht die in den Meldungsattributen enthaltenen Informationen mit der konfigurierten Richtlinie. Abhängig von der Richtlinie verwirft oder leitet RA Guard die RA-Meldungen, die den Bedingungen entsprechen, weiter.

Die folgenden Informationen, die in RA-Meldungsattributen enthalten sind, können von RA Guard verwendet werden, um die Quelle der RA-Meldung zu überprüfen:

• Quell-MAC-Adresse

• Quell-IPv6-Adresse

• Quell-IPv6-Adresspräfix

• Grenzwert für Hop-Anzahl

• Priorität der Router-Präferenz

• Flag für die verwaltete Konfiguration

• Sonstiges Konfigurationsflag

Sie können RA Guard so konfigurieren, dass er entweder im zustandslosen oder im zustandsbehafteten Modus arbeitet. Im zustandslosen Modus wird im Standardzustand eine RA-Nachricht, die über eine Schnittstelle empfangen wird, untersucht und danach gefiltert, ob sie den Bedingungen entspricht, die in der dieser Schnittstelle zugeordneten Richtlinie konfiguriert sind. Wenn der Inhalt der RA-Nachricht validiert wird, wird die RA-Nachricht an ihr Ziel weitergeleitet. Andernfalls wird die RA-Meldung gelöscht. Der Status einer Schnittstelle, die im zustandslosen Modus arbeitet, kann durch Konfiguration geändert werden. Wenn die Schnittstelle als vertrauenswürdig konfiguriert ist, werden alle RA-Nachrichten weitergeleitet, ohne dass sie anhand der Richtlinie überprüft werden. Wenn die Schnittstelle als blockiert konfiguriert ist, werden alle RA-Nachrichten verworfen, ohne dass sie anhand der Richtlinie überprüft wurden.

Im Stateful-Modus kann eine Schnittstelle dynamisch von einem Zustand in einen anderen übergehen, basierend auf Informationen, die während einer Lernphase gesammelt werden. Während dieses Zeitraums, der als Lernzustand bezeichnet wird, werden eingehende RA-Nachrichten anhand einer Richtlinie validiert, um zu bestimmen, welche Schnittstellen mit Verbindungen mit gültigen IPv6-Routern verbunden sind. Am Ende des Lernzeitraums gehen Schnittstellen, die an legitime Absender von RA-Nachrichten angehängt sind, dynamisch in den Weiterleitungsstatus über, in dem RA-Nachrichten weitergeleitet werden, wenn sie anhand einer Richtlinie validiert werden können. Schnittstellen, die während des Lernzeitraums keine gültigen RA-Nachrichten empfangen, wechseln dynamisch in den blockierten Zustand, in dem alle eingehenden RA-Nachrichten verworfen werden.

Tabelle 1 fasst die Zustände des IPv6-RA-Schutzes sowohl für den zustandslosen als auch für den zustandsbehafteten Modus zusammen.

Tabelle 1: IPv6-RA-Schutzzustände

Zustand	Beschreibung	Modus
Aus	Die Schnittstelle verhält sich so, als ob der RA-Schutz nicht verfügbar wäre.	Zustandslos/zustandsbehaftet
Vertrauenswürdigen	Die Schnittstelle leitet eingehende RA-Nachrichten weiter, wenn empfangene RA-Nachrichten anhand der konfigurierten Richtlinienregeln validiert wurden. Andernfalls wird die RA-Meldung gelöscht. Der Status "Nicht vertrauenswürdig" ist der Standardstatus einer Schnittstelle, die für den RA-Schutz aktiviert ist.	Zustandslos/zustandsbehaftet
Gesperrt	Die Schnittstelle blockiert eingehende RA-Nachrichten.	Zustandslos/zustandsbehaftet
Versand	Die Schnittstelle leitet eingehende RA-Nachrichten weiter, wenn empfangene RA-Nachrichten anhand der konfigurierten Richtlinienregeln validiert wurden. Andernfalls werden die RA-Meldungen gelöscht.	Zustandsorientiert
Lernen	Der Switch erfasst aktiv Informationen über das IPv6-Routing-Gerät, das mit der Schnittstelle verbunden ist. Der Lernprozess findet über einen vordefinierten Zeitraum statt.	Zustandsorientiert
Getraut	Die Schnittstelle leitet alle RA-Meldungen direkt weiter, ohne sie anhand der Richtlinie zu validieren.	Zustandslos/zustandsbehaftet

Abbildung 1 zeigt den Zustandsübergang, wenn der zustandsbehaftete RA-Schutz aktiviert ist. Die auf den Abbildungen gezeigten Zahlen werden im folgenden Text beschrieben; Dies sind keine aufeinander folgenden Schritte.

1. Wenn der RA-Schutz auf einer Schnittstelle aktiviert ist, wechselt er vom ausgeschalteten Status in den nicht vertrauenswürdigen Status. Der nicht vertrauenswürdige Status ist der Standardstatus einer Schnittstelle, die für den RA-Schutz aktiviert ist.

2. Wenn der Befehl zum Anfordern des Lernzustands ausgegeben wird, wird die Schnittstelle vom ausgeschalteten in den Lernzustand verschoben.

3. RA-Meldungen, die während des Lernzustands empfangen werden, werden mit der konfigurierten Richtlinie verglichen.

4. Wenn RA-Nachrichten anhand der konfigurierten Richtlinie validiert werden, wechselt die Schnittstelle in den Weiterleitungsstatus .

5. Wenn RA-Meldungen nicht anhand der konfigurierten Richtlinie validiert werden, wechselt die Schnittstelle in den Status "Blockiert" .

6. Wenn mark-interface trust es auf der validierten Schnittstelle konfiguriert ist, wechselt es vom Weiterleitungsstatus in den vertrauenswürdigen Status.

7. Wenn mark-interface trust es auf der blockierten Schnittstelle konfiguriert ist, wechselt es vom blockierten Zustand in den vertrauenswürdigen Zustand.

8. Wenn Lernen auf einer blockierten Schnittstelle angefordert wird, wechselt die Schnittstelle vom blockierten in den Lernzustand .

9. Wenn eine Schnittstelle im standardmäßigen nicht vertrauenswürdigen Zustand als konfiguriert ist, wechselt sie direkt in mark-interface trustden vertrauenswürdigen Zustand. In diesem Fall kann eine Richtlinie nicht auf diese Schnittstelle angewendet werden.

10. Wenn die mark-interface trust Konfiguration gelöscht wird und keine gültigen RAs auf der Schnittstelle empfangen werden, wechselt die Schnittstelle in den blockierten Status.

11. Wenn der Befehl, der den Weiterleitungsstatus anfordert, ausgegeben wird, wechselt die Schnittstelle direkt vom blockierten in den Weiterleitungsstatus .

12. Wenn der Befehl, der den Sperrstatus anfordert, ausgegeben wird, wechselt die Schnittstelle direkt von der Weiterleitung in die Blockierung.

13. Wenn eine Schnittstelle im standardmäßigen nicht vertrauenswürdigen Zustand als konfiguriert ist, wechselt sie direkt in mark-interface blockden Status "Blockiert" . In diesem Fall kann eine Richtlinie nicht auf diese Schnittstelle angewendet werden.