Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de Stateless IPv6 Router IPv6 Advertisement Guard

La protection sans état de l’annonce de routeur IPv6 (RA) permet au commutateur d’examiner les messages RA entrants et de les filtrer en fonction d’un ensemble de critères prédéfinis. Si le commutateur valide le contenu du message RA, il transfère le message RA vers sa destination ; sinon, le message RA est supprimé.

Avant de pouvoir activer IPv6 RA Guard, vous devez configurer une stratégie avec les critères à utiliser pour valider les messages RA reçus sur une interface. Vous pouvez configurer la stratégie pour accepter ou rejeter les messages RA selon qu’ils répondent ou non aux critères. Les critères sont comparés à l’information contenue dans les messages de l’AR. Si les critères de la stratégie incluent des adresses source ou des préfixes d’adresse, vous devez configurer une liste d’adresses avant de configurer la stratégie.

Configuration d’une stratégie de rejet pour RA Guard

Vous pouvez configurer une stratégie d’abandon pour supprimer les messages RA à partir de sources prédéfinies. Vous devez d’abord configurer une ou plusieurs listes d’adresses sources ou de préfixes d’adresse, puis les associer à une stratégie. Les listes suivantes peuvent être associées à une stratégie de rejet :

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Note:

Vous pouvez inclure plusieurs types de liste dans une stratégie de rejet. Si les informations contenues dans un message RA reçu correspondent à l’un des paramètres de liste, ce message RA est ignoré.

Pour configurer une stratégie d’abandon pour RA Guard :

  1. Définissez une ou plusieurs listes d’adresses sources ou de préfixes d’adresses non autorisés que RA Guard utilisera pour filtrer les messages RA entrants. Ajoutez une adresse ou un préfixe d’adresse par ligne dans la configuration.

    • Pour définir une liste d’adresses source IPv6 :

    • Pour définir une liste de préfixes d’adresses IPv6 :

    • Pour définir une liste d’adresses source MAC :

  2. Configurez le nom de la stratégie :
  3. Spécifiez l’action de rejet :
  4. Associez la stratégie à la ou aux listes définies à l’étape 1. Par exemple, pour ignorer les messages RA qui correspondent à une adresse MAC source dans la liste :

Configuration d’une stratégie d’acceptation pour RA Guard

Vous pouvez configurer une stratégie d’acceptation pour transférer les messages RA sur la base de certains critères. Vous pouvez configurer des listes de correspondance d’adresse source ou de préfixes d’adresse comme critère, ou vous pouvez configurer d’autres conditions de correspondance, telles que la limite de sauts, les indicateurs de configuration ou la préférence de routeur comme critères.

Les listes suivantes peuvent être associées à une stratégie d’acceptation à l’aide de l’option match-list suivante :

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Note:

Vous pouvez associer plusieurs types de listes de correspondance à une stratégie d’acceptation. Si la match-all sous-option est configurée, alors un message RA reçu doit correspondre à toutes les listes de correspondance configurées afin d’être transféré ; sinon, il est ignoré. Si l’option match-any est configurée, un message RA reçu doit correspondre à l’une des listes de correspondance configurées afin d’être transféré ; s’il ne correspond à aucune des listes configurées, il est ignoré.

Les conditions de correspondance suivantes peuvent être configurées à l’aide de l’option match-option :

  • hop-limit: configurez la stratégie RA guard pour vérifier le nombre minimal ou maximal de sauts pour un message RA entrant.

  • managed-config-flag: configurez la stratégie RA guard pour vérifier que l’indicateur de configuration de l’adresse gérée d’un message RA entrant est défini.

  • other-config-flag: configurez la stratégie RA guard pour vérifier que l’autre indicateur de configuration d’un message RA entrant est défini.

  • router-preference-maximum: configurez la stratégie RA guard pour vérifier que la valeur du paramètre de préférence de routeur par défaut d’un message RA entrant est inférieure ou égale à une limite spécifiée.

Note:

Les match-list options et match-option ne sont utilisées que dans les stratégies d’acceptation, et non dans les stratégies de rejet.

Pour configurer une stratégie d’acceptation pour RA Guard à l’aide de l’option match-list :

  1. Définissez une ou plusieurs listes d’adresses source autorisées ou de préfixes d’adresse que RA Guard utilisera pour filtrer les messages RA entrants. Ajoutez une adresse ou un préfixe d’adresse par ligne dans la configuration.

    • Pour définir une liste d’adresses source IPv6 :

    • Pour définir une liste de préfixes d’adresses IPv6 :

    • Pour définir une liste d’adresses source MAC :

  2. Spécifiez le nom de la stratégie :
  3. Spécifiez l’action d’acceptation :
  4. Spécifiez si RA guard doit répondre aux critères de toutes les listes ou de l’une des listes configurées en 1 :

    • Pour correspondre à toutes les listes :

    • Pour correspondre à l’une des listes :

  5. Associez la stratégie d’acceptation à la ou aux listes configurées à l’étape 1. Par exemple:

Pour configurer une stratégie d’acceptation pour RA Guard à l’aide de l’option match-option :

  1. Spécifiez le nom de la stratégie :

  2. Spécifiez l’action d’acceptation :

  3. Spécifiez les conditions de correspondance à l’aide de l’option match-option . Par exemple, pour spécifier une correspondance sur le nombre maximal de sauts :

Activation de RA Guard sans état sur une interface

Vous pouvez activer RA Guard sans état sur une interface. Vous devez d’abord configurer une stratégie, qui est appliquée aux messages RA entrants sur l’interface ou les interfaces. Une fois que vous avez appliqué une stratégie à une interface, vous devez également activer RA Guard sur le VLAN correspondant. sinon, la stratégie appliquée à l’interface n’a aucun impact sur les paquets RA reçus.

Pour activer RA Guard sans état sur une interface :

  1. Appliquer une stratégie à une interface :
  2. Configurez l’option stateless sur l’interface :
  3. Activer la protection RA sans état sur le VLAN correspondant :

Activation de Stateless RA Guard sur un VLAN

Vous pouvez activer RA Guard sans état pour chaque VLAN ou pour tous les VLAN. Vous devez d’abord configurer une stratégie, qui est utilisée pour valider les messages RA entrants dans l’état d’apprentissage.

Pour activer RA Guard sans état sur un VLAN spécifique :

  1. Appliquez une stratégie à un VLAN.
  2. Configurez l’option stateless sur le VLAN :

Pour activer la protection RA sans état sur tous les VLAN :

  1. Appliquez une stratégie à tous les VLAN.

    Note:

    Si une stratégie a été configurée pour un VLAN spécifique à l’aide de la commande set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name, cette stratégie est prioritaire sur la stratégie appliquée globalement à tous les VLAN.

  2. Configurez l’option stateful sur tous les VLAN :

Configuration d’une interface comme étant approuvée ou bloquée pour contourner l’inspection par RA Guard

Vous pouvez configurer une interface comme approuvée ou bloquée pour contourner l’inspection des messages RA par RA Guard. Lorsqu’un message RA est reçu sur une interface approuvée ou bloquée, il n’est pas soumis à la validation par rapport à la stratégie configurée. Une interface sécurisée transfère tous les messages RA. Une interface bloquée rejette tous les messages RA.

  • Pour configurer une interface approuvée :
  • Pour configurer une interface comme bloquée :

Documentation connexe