Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von Stateless IPv6 Router Advertisement Guard

Der zustandslose IPv6-Router Advertisement (RA)-Schutz ermöglicht es dem Switch, eingehende RA-Nachrichten zu untersuchen und sie basierend auf einem vordefinierten Satz von Kriterien zu filtern. Wenn der Switch den Inhalt der RA-Nachricht überprüft, leitet er die RA-Nachricht an ihr Ziel weiter. Andernfalls wird die RA-Nachricht verworfen.

Bevor Sie den IPv6-RA-Schutz aktivieren können, müssen Sie eine Richtlinie mit den Kriterien konfigurieren, die für die Überprüfung von RA-Nachrichten verwendet werden sollen, die über eine Schnittstelle empfangen werden. Sie können die Richtlinie so konfigurieren, dass RA-Nachrichten entweder akzeptiert oder verworfen werden, je nachdem, ob sie die Kriterien erfüllen. Die Kriterien werden mit den Informationen verglichen, die in den RA-Nachrichten enthalten sind. Wenn die Kriterien für die Richtlinie Quelladressen oder Adresspräfixe enthalten, müssen Sie vor der Konfiguration der Richtlinie eine Liste der Adressen konfigurieren.

Konfigurieren einer Verwerfungsrichtlinie für RA Guard

Sie können eine Verwerfungsrichtlinie konfigurieren, um RA-Nachrichten aus vordefinierten Quellen zu löschen. Sie müssen zuerst eine oder mehrere Listen der Quelladressen oder Adresspräfixe konfigurieren und diese dann einer Richtlinie zuordnen. Die folgenden Listen können der Verwerfungsrichtlinie zugeordnet werden:

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Anmerkung:

Sie können mehr als einen Listentyp in eine Verwerfungsrichtlinie aufnehmen. Wenn die in einer empfangenen RA-Nachricht enthaltenen Informationen mit einem der Listenparameter übereinstimmen, wird diese RA-Nachricht verworfen.

So konfigurieren Sie eine Verwerfungsrichtlinie für den RA-Schutz:

  1. Definieren Sie eine oder mehrere Listen unzulässiger Quelladressen oder Adresspräfixe, die der RA-Schutz zum Filtern eingehender RA-Nachrichten verwendet. Fügen Sie eine Adresse oder ein Adresspräfix pro Zeile in der Konfiguration hinzu.

    • So definieren Sie eine Liste von IPv6-Quelladressen:

    • So definieren Sie eine Liste von IPv6-Adresspräfixen:

    • So definieren Sie eine Liste von MAC-Quelladressen:

  2. Konfigurieren Sie den Richtliniennamen:
  3. Geben Sie die Verwerfungsaktion an:
  4. Ordnen Sie die Richtlinie der in Schritt 1 definierten(n) Liste(n) zu. So verwerfen Sie beispielsweise RA-Nachrichten, die mit einer Quell-MAC-Adresse in der Liste übereinstimmen:

Konfigurieren einer Annahmerichtlinie für RA Guard

Sie können eine Annahmerichtlinie konfigurieren, um RA-Nachrichten auf der Grundlage bestimmter Kriterien weiterzuleiten. Sie können entweder Übereinstimmungslisten mit Quelladressen oder Adresspräfixen als Kriterien konfigurieren oder Sie können andere Übereinstimmungsbedingungen wie Hop-Limit, Konfigurationsflags oder Routerpräferenz als Kriterien konfigurieren.

Die folgenden Listen können mithilfe der match-list folgenden Option einer Annahmerichtlinie zugeordnet werden:

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Anmerkung:

Sie können einer Annahmerichtlinie mehr als einen Typ von Übereinstimmungsliste zuordnen. Wenn die match-all Unteroption konfiguriert ist, muss eine empfangene RA-Nachricht mit allen konfigurierten Übereinstimmungslisten übereinstimmen, um weitergeleitet zu werden, andernfalls wird sie verworfen. Wenn die match-any Option konfiguriert ist, muss eine empfangene RA-Nachricht mit einer der konfigurierten Übereinstimmungslisten übereinstimmen, um weitergeleitet zu werden. Wenn sie mit keiner der konfigurierten Listen übereinstimmt, wird sie verworfen.

Die folgenden Übereinstimmungsbedingungen können mit der match-option Option konfiguriert werden:

  • hop-limit– Konfigurieren Sie die RA-Schutzrichtlinie, um die minimale oder maximale Hop-Anzahl für eine eingehende RA-Nachricht zu überprüfen.

  • managed-config-flag– Konfigurieren Sie die RA-Schutzrichtlinie, um zu überprüfen, ob das Konfigurationsflag für verwaltete Adressen einer eingehenden RA-Nachricht festgelegt ist.

  • other-config-flag– Konfigurieren Sie die RA-Schutzrichtlinie, um zu überprüfen, ob das andere Konfigurationsflag einer eingehenden RA-Nachricht festgelegt ist.

  • router-preference-maximum– Konfigurieren Sie die RA-Schutzrichtlinie, um zu überprüfen, ob der Standardwert des Router-Präferenzparameters einer eingehenden RA-Nachricht kleiner oder gleich einem angegebenen Grenzwert ist.

Anmerkung:

Die match-list Optionen und match-option werden nur in Annahmerichtlinien verwendet, nicht in Verwerfungsrichtlinien.

So konfigurieren Sie eine Annahmerichtlinie für den RA-Schutz mithilfe der match-list folgenden Option:

  1. Definieren Sie eine oder mehrere Listen mit autorisierten Quelladressen oder Adresspräfixen, die RA Guard zum Filtern eingehender RA-Nachrichten verwendet. Fügen Sie eine Adresse oder ein Adresspräfix pro Zeile in der Konfiguration hinzu.

    • So definieren Sie eine Liste von IPv6-Quelladressen:

    • So definieren Sie eine Liste von IPv6-Adresspräfixen:

    • So definieren Sie eine Liste von MAC-Quelladressen:

  2. Geben Sie den Richtliniennamen an:
  3. Geben Sie die Accept-Aktion an:
  4. Geben Sie an, ob der RA-Wächter die Kriterien in allen Listen oder in einer der in 1 konfigurierten Listen erfüllen muss:

    • So stimmen Sie mit allen Listen überein:

    • So stimmen Sie mit einer der Listen überein:

  5. Ordnen Sie die Annahmerichtlinie der in Schritt 1 konfigurierten Liste oder Listen zu. Zum Beispiel:

So konfigurieren Sie eine Akzeptanzrichtlinie für den RA-Wächter mit der match-option folgenden Option:

  1. Geben Sie den Richtliniennamen an:

  2. Geben Sie die Accept-Aktion an:

  3. Geben Sie die Übereinstimmungsbedingungen an, indem Sie die match-option Option verwenden. So geben Sie z. B. eine Übereinstimmung für die maximale Anzahl von Hops an:

Aktivieren des zustandslosen RA-Schutzes auf einer Schnittstelle

Sie können den zustandslosen RA-Schutz auf einer Schnittstelle aktivieren. Sie müssen zuerst eine Richtlinie konfigurieren, die auf eingehende RA-Nachrichten auf der Schnittstelle oder den Schnittstellen angewendet wird. Nachdem Sie eine Richtlinie auf eine Schnittstelle angewendet haben, müssen Sie auch den RA-Schutz im entsprechenden VLAN aktivieren. Andernfalls hat die auf die Schnittstelle angewendete Richtlinie keine Auswirkungen auf empfangene RA-Pakete.

So aktivieren Sie den zustandslosen RA-Schutz auf einer Schnittstelle:

  1. Anwenden einer Richtlinie auf eine Schnittstelle:
  2. Konfigurieren Sie die stateless Option auf der Benutzeroberfläche:
  3. Aktivieren Sie den zustandslosen RA-Schutz im entsprechenden VLAN:

Aktivieren von Stateless RA Guard in einem VLAN

Sie können den zustandslosen RA-Schutz pro VLAN oder für alle VLANs aktivieren. Sie müssen zuerst eine Richtlinie konfigurieren, die verwendet wird, um eingehende RA-Nachrichten im Lernzustand zu validieren.

So aktivieren Sie den zustandslosen RA-Schutz in einem bestimmten VLAN:

  1. Wenden Sie eine Richtlinie auf ein VLAN an.
  2. Konfigurieren Sie die stateless Option im VLAN:

So aktivieren Sie den zustandslosen RA-Schutz in allen VLANs:

  1. Wenden Sie eine Richtlinie auf alle VLANs an.

    Anmerkung:

    Wenn eine Richtlinie mit dem Befehl set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-namefür ein bestimmtes VLAN konfiguriert wurde, hat diese Richtlinie Vorrang vor der Richtlinie, die global auf alle VLANs angewendet wird.

  2. Konfigurieren Sie die stateful Option für alle VLANs:

Konfigurieren einer Schnittstelle als vertrauenswürdig oder blockiert, um die Überprüfung durch RA Guard zu umgehen

Sie können eine Schnittstelle als vertrauenswürdig oder blockiert konfigurieren, um die Überprüfung von RA-Nachrichten durch den RA-Wächter zu umgehen. Wenn eine RA-Nachricht auf einer vertrauenswürdigen oder blockierten Schnittstelle empfangen wird, wird sie nicht anhand der konfigurierten Richtlinie validiert. Eine vertrauenswürdige Schnittstelle leitet alle RA-Nachrichten weiter. Eine blockierte Schnittstelle verwirft alle RA-Meldungen.

  • So konfigurieren Sie eine Schnittstelle als vertrauenswürdig:
  • So konfigurieren Sie eine Schnittstelle als blockiert:

Zugehörige Dokumentation