router-advertisement-guard
構文
router-advertisement-guard { interface interface-name { mark-interface (trusted | block); policy policy-name (stateful | stateless); } vlans (vlan-name | all) { policy policy-name (stateful | stateless); } policy policy-name { accept { match-list { match-criteria { (match-all | match-any); } prefix-list-name prefix-list-name; source-ip-address-list address-list-name; source-mac-address-list address-list-name; } match-option { hop-limit { (maximum | minimum) value; } managed-config-flag; other-config-flag; router-preference (high | low | medium); } } discard { prefix-list-name prefix-list-name; source-ip-address-list address-list-name; source-mac-address-list address-list-name; } } }
階層レベル
[edit forwarding-options access-security]
説明
IPv6ルーターアドバタイズメント(RA)ガードを設定します。IPv6 の導入では、RA ガードは、ネットワーク セグメントに接続する未承認または不適切に設定されたルータによって、悪意を持って、または意図せずに生成された不正な RA メッセージから保護します。RA ガード ポリシーは、着信 RA メッセージがポリシーで定義された条件に一致するかどうかに基づいて検証するために使用されます。ポリシーは、受け入れポリシーまたは破棄ポリシーのいずれかです。受け入れポリシーを使用して RA ガードが有効になっている場合、ポリシーで定義された条件に一致する RA メッセージは転送され、条件に一致しない RA メッセージはドロップされます。廃棄ポリシーを使用して RA ガードが有効になっている場合、条件に一致する RA メッセージはドロップされ、条件に一致しない RA メッセージは転送されます。
インターフェイスまたはVLANでRAガードを有効にできます。最初に [edit forwarding-options access-security router-advertisement-guard
] 階層レベルでポリシーを設定する必要があります。次に、ポリシーは [edit forwarding-options access-security router-advertisement-guard interface interface-name
] 階層レベルのインターフェイス、または [edit forwarding-options access-security router-advertisement-guard vlan vlan-name
] 階層レベルの VLAN に適用されます。
インターフェイスに RA ガードポリシーを適用する場合、[] 階層レベルの ステートメントedit forwarding-options access-security router-advertisement-guard
を使用してvlan
、そのインターフェイスに関連付けられている VLAN で RA ガードを有効にする必要があります。
RA ガードは、ステートレスまたはステートフルに設定できます。ステートレス RA ガードを使用すると、スイッチは着信 RA メッセージを調べ、ポリシーで設定された条件に一致するかどうかに基づいて各メッセージをフィルタリングできます。例えば、インターフェイスは、事前定義された送信元からのみRAメッセージを転送するように静的に設定することができます。ステートフル RA ガードを使用すると、スイッチは RA メッセージの正当な送信者について学習し、この情報を保存して、後続の RA メッセージの送信者を検証することができます。たとえば、ラーニング ステートにあり、正当な送信者から RA メッセージを受信したインターフェイスは、有効な送信者からの RA メッセージが宛先に転送される転送ステートに動的に移行します。
残りのステートメントについては、個別に説明します。 CLIエクスプローラを参照してください。
必要な権限レベル
interface—設定でこのステートメントを表示します。
interface-control—設定にこのステートメントを追加します。
リリース情報
Junos OSリリース15.1X53-D55で導入されたステートメント。