Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre la protection des publicités des routeurs IPv6

Dans un déploiement IPv6, les routeurs diffusent régulièrement des messages RA (Router Advertisement) pour annoncer leur disponibilité et transmettre des informations aux nuds voisins afin de les configurer automatiquement sur le réseau. Les messages RA sont utilisés par le protocole NDP (Neighbor Discovery Protocol) pour détecter les voisins, annoncer des préfixes IPv6, faciliter le provisionnement des adresses et partager des paramètres de liaison tels que l’unité de transmission maximale (MTU), la limite de sauts, les intervalles d’annonce et la durée de vie. Les hôtes écoutent les messages RA pour la configuration automatique des adresses IPv6 et la découverte des adresses lien-local des routeurs voisins, et peuvent également envoyer un message de sollicitation de routeur (RS) pour demander des annonces immédiates.

Les messages RA ne sont pas sécurisés, ce qui les rend vulnérables aux attaques sur le réseau qui impliquent l’usurpation (ou la falsification) d’adresses de couche de liaison. En outre, une mauvaise configuration involontaire de la part des utilisateurs ou des administrateurs peut entraîner la présence de messages RA indésirables ou non autorisés, ce qui peut entraîner des problèmes opérationnels pour les hôtes voisins. Vous pouvez configurer IPv6 Router Advertisement (RA) Guard pour protéger votre réseau contre les messages RA non autorisés générés par des routeurs non autorisés ou mal configurés qui se connectent au segment réseau.

RA Guard fonctionne en validant les messages RA selon qu’ils répondent ou non à certains critères, configurés sur le commutateur à l’aide de stratégies. RA Guard inspecte les messages RA et compare les informations contenues dans les attributs de message à la stratégie configurée. En fonction de la stratégie, RA Guard supprime ou transfère les messages RA qui correspondent aux conditions.

Les informations suivantes contenues dans les attributs de message RA peuvent être utilisées par RA Guard pour valider la source du message RA :

  • Adresse MAC source

  • Adresse IPv6 source

  • Préfixe de l’adresse IPv6 source

  • Limite du nombre de sauts

  • Priorité des préférences de routeur

  • Indicateur de configuration managée

  • Autre indicateur de configuration

Vous pouvez configurer RA Guard pour qu’il fonctionne en mode sans état ou dynamique. En mode sans état, dans l’état par défaut, un message RA reçu sur une interface est examiné et filtré pour déterminer s’il correspond aux conditions configurées dans la stratégie attachée à cette interface. Si le contenu du message RA est validé, il transfère le message RA à sa destination ; sinon, le message RA est supprimé. L’état d’une interface fonctionnant en mode sans état peut être modifié par configuration. Si l’interface est configurée comme approuvée, tous les messages RA sont transférés sans être validés par rapport à la stratégie. Si l’interface est configurée comme bloquée, tous les messages RA sont supprimés sans être validés par rapport à la stratégie.

En mode dynamique, une interface peut passer dynamiquement d’un état à un autre en fonction des informations recueillies au cours d’une période d’apprentissage. Au cours de cette période, connue sous le nom d’état d’apprentissage , les messages RA entrants sont validés par rapport à une stratégie visant à déterminer quelles interfaces sont attachées aux liaisons avec des routeurs IPv6 valides. À la fin de la période d’apprentissage, les interfaces attachées aux expéditeurs légitimes de messages RA passent dynamiquement à l’état de transfert , dans lequel les messages RA sont transférés s’ils peuvent être validés par rapport à une stratégie. Les interfaces qui ne reçoivent pas de messages RA valides pendant la période d’apprentissage passent dynamiquement à l’état bloqué , dans lequel tous les messages RA entrants sont abandonnés.

Le Tableau 1 récapitule les états d’IPv6 RA Guard pour les modes sans état et dynamique.

Tableau 1 : États de la protection IPv6 RA

État

Description

Mode

De

L’interface fonctionne comme si RA Guard n’était pas disponible.

Sans état/avec état

Non fiable

L’interface transfère les messages RA entrants si les messages RA reçus sont validés par rapport aux règles de stratégie configurées. sinon, il abandonne le message RA. L’état non approuvé est l’état par défaut d’une interface activée pour RA Guard.

Sans état/avec état

Bloqué

L’interface bloque les messages RA entrants.

Sans état/avec état

Transfert

L’interface transfère les messages RA entrants si les messages RA reçus sont validés par rapport aux règles de stratégie configurées. sinon, il abandonne les messages RA.

Stateful

Apprentissage

Le commutateur acquiert activement des informations sur le périphérique de routage IPv6 connecté à l’interface. Le processus d’apprentissage se déroule sur une période de temps prédéfinie.

Stateful

Confiance

L’interface transfère directement tous les messages RA, sans les valider par rapport à la stratégie.

Sans état/avec état

La figure 1 illustre la transition d’états lorsque la protection RA dynamique est activée. Les chiffres indiqués sur les illustrations sont décrits dans le texte qui suit ; Il ne s’agit pas d’étapes successives.

Figure 1 : Transitions d’état de la garde RA dynamique Stateful RA Guard State Transitions

  1. Lorsque RA Guard est activé sur une interface, il passe de l’état désactivé à l’état non approuvé. L’état non approuvé est l’état par défaut d’une interface activée pour RA Guard.

  2. Lorsque la commande demandant l’état d’apprentissage est émise, l’interface passe de l’état désactivé à l’état d’apprentissage .

  3. Les messages RA reçus pendant l’état d’apprentissage sont comparés à la stratégie configurée.

  4. Si les messages RA sont validés par rapport à la stratégie configurée, l’interface passe à l’état de transfert .

  5. Si les messages RA ne sont pas validés par rapport à la stratégie configurée, l’interface passe à l’état bloqué .

  6. S’il mark-interface trust est configuré sur l’interface validée, il passe de l’état de transfert à l’état de confiance .

  7. Si mark-interface trust est configuré sur l’interface bloquée, il passe de l’état bloqué à l’état approuvé .

  8. Si l’apprentissage est demandé sur une interface bloquée, l’interface passe de l’état bloqué à l’état d’apprentissage .

  9. Si une interface dont l’état n’est pas approuvé par défaut est configurée en tant que mark-interface trust, elle passe directement à l’état approuvé. Dans ce cas, aucune stratégie ne peut être appliquée sur cette interface.

  10. Si la mark-interface trust configuration est supprimée et qu’aucune RA valide n’est reçue sur l’interface, celle-ci passe à l’état bloqué .

  11. Si la commande demandant l’état de transfert est émise, l’interface passe directement de l’état bloqué à l’état de transfert .

  12. Si la commande demandant l’état de blocage est émise, l’interface passe directement du transfert au blocage.

  13. Si une interface dans l’état non approuvé par défaut est configurée en tant que mark-interface block, elle passe directement à l’état bloqué . Dans ce cas, aucune stratégie ne peut être appliquée sur cette interface.

Documentation connexe