Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de la protection des annonces des routeurs IPv6 dynamiques

La protection dynamique de l’annonce de routeur (RA) IPv6 permet à un commutateur d’apprendre les sources des messages RA pendant un certain temps. Au cours de cette période, au cours de laquelle le commutateur est connu pour être dans l’état d’apprentissage, les informations contenues dans les attributs de message RA reçus sont stockées et comparées à la stratégie. À la fin de la période d’apprentissage, le commutateur dispose d’un enregistrement des interfaces connectées aux liaisons avec des routeurs IPv6 valides. Si aucun routeur IPv6 valide n’est connecté à une interface, le commutateur fait passer dynamiquement l’interface de l’état d’apprentissage à l’état de blocage. Les messages RA suivants reçus après le passage à l’état bloquant sont abandonnés. Si un routeur IPv6 valide est attaché à l’interface, celle-ci passe à l’état de transfert. Dans l’état de transfert, les messages RA qui peuvent être validés par rapport à la stratégie configurée sont transférés.

Vous pouvez remplacer les transitions d’état dynamiques en configurant statiquement les états de transfert ou de blocage sur une interface. Lorsque vous configurez l’état d’une interface de manière statique, l’état ne peut être modifié que par le biais de la configuration. Par exemple, si vous configurez l’état de transfert sur une interface, l’interface reste dans l’état de transfert jusqu’à ce que vous configuriez un état différent sur cette interface.

Avant de pouvoir activer IPv6 RA Guard sur une interface ou un VLAN, vous devez configurer une stratégie. La garde RA dynamique utilise la stratégie pour déterminer si les messages RA reçus sur une interface proviennent d’expéditeurs valides. Vous pouvez configurer la stratégie pour accepter ou ignorer les messages RA qui répondent aux critères prédéfinis. Si les critères de la stratégie incluent des adresses source ou des préfixes d’adresse, vous devez configurer une liste d’adresses avant de configurer la stratégie.

Activation de RA Guard dynamique sur une interface

Vous pouvez activer RA Guard dynamique sur une interface. Vous devez d’abord configurer une stratégie, qui est utilisée pour valider les messages RA entrants pendant la période d’apprentissage. Une fois que vous avez appliqué une stratégie RA Guard à une interface, vous devez activer RA Guard sur le VLAN correspondant.

Pour activer RA Guard dynamique sur une interface :

  1. Appliquer une stratégie à une interface.
  2. Configurez l’option stateful sur l’interface :
  3. Activez la protection RA dynamique sur le VLAN correspondant :

Activation de Stateful RA Guard sur un VLAN

Vous pouvez activer la protection RA dynamique par VLAN ou pour tous les VLAN. Vous devez d’abord configurer une stratégie utilisée pour valider les messages RA entrants pendant l’état d’apprentissage.

Pour activer la protection RA dynamique sur un VLAN spécifique :

  1. Appliquez une stratégie à un VLAN.
  2. Configurez l’option stateful sur le VLAN :

Pour activer la protection RA dynamique sur tous les VLAN :

  1. Appliquez une stratégie à tous les VLAN.

    Note:

    Si une stratégie a été configurée pour un VLAN spécifique à l’aide de la commande set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name, cette stratégie est prioritaire sur la stratégie appliquée globalement à tous les VLAN.

  2. Configurez l’option stateful sur tous les VLAN :

Configuration de l’état d’apprentissage sur une interface

Lorsque la protection RA dynamique est activée pour la première fois, l’état par défaut est désactivé. Une interface à l’état éteint fonctionne comme si RA Guard n’était pas disponible. Pour faire passer une interface à l’état d’apprentissage, vous devez demander l’apprentissage sur l’interface. Une interface dans l’état d’apprentissage acquiert activement des informations à partir des messages RA qu’elle reçoit.

Pour configurer l’apprentissage dynamique de RA Guard sur une interface :

  1. Demandez un apprentissage sur l’interface.
  2. Configurez la période d’apprentissage en secondes.
  3. Configurez l’action à effectuer sur les messages RA entrants reçus pendant la période d’apprentissage. Pour transférer les messages RA reçus pendant la période d’apprentissage, configurez le transfert sur l’interface.

    • Pour transférer des messages RA pendant la période d’apprentissage :

    • Pour bloquer les messages RA pendant la période d’apprentissage :

Configuration de l’état de transfert sur une interface

Une interface à l’état de transfert accepte les messages RA entrants qui peuvent être validés par rapport à la stratégie configurée et les transfère vers leur destination. Une interface peut passer dynamiquement à l’état de transfert directement à partir de l’état d’apprentissage, ou l’état de transfert peut être configuré de manière statique sur l’interface.

Pour configurer l’état de transfert sur une interface :

Configuration de l’état de blocage sur une interface

Une interface à l’état bloquant bloque les messages RA entrants. Une interface peut passer dynamiquement à l’état bloquant directement à partir de l’état d’apprentissage, ou l’état bloquant peut être configuré de manière statique sur l’interface. Une interface qui a été configurée statiquement pour être dans l’état de blocage restera dans l’état de blocage jusqu’à ce qu’un autre état soit configuré sur cette interface.

Pour configurer l’état de blocage sur une interface :

Documentation connexe