IPv6ルーターアドバタイズガードについて
IPv6 の導入では、ルーターは定期的に RA(ルーター アドバタイズメント)メッセージをマルチキャストして、その可用性を通知し、ネットワーク上で自動的に設定できるように隣接ノードに情報を伝達します。RA メッセージは、ネイバーの検出、IPv6 プレフィックスのアドバタイズ、アドレス プロビジョニングの支援、最大送信単位(MTU)、ホップ制限、アドバタイズ間隔、ライフタイムなどのリンク パラメーターの共有のために、NDP(ネイバー探索プロトコル)によって使用されます。ホストは、IPv6 アドレスの自動設定と隣接ルーターのリンクローカル アドレスの検出のために RA メッセージをリッスンし、ルーター要請(RS)メッセージを送信して即時アドバタイズを要求することもできます。
RA メッセージはセキュリティで保護されていないため、リンク層アドレスのスプーフィング(または偽造)を伴うネットワーク上の攻撃を受けやすくなります。また、ユーザーまたは管理者による意図しない設定ミスは、望ましくない、または不正なRAメッセージの存在につながり、隣接ホストの操作上の問題を引き起こす可能性があります。IPv6ルーターアドバタイズメント(RA)ガードを設定して、ネットワークセグメントに接続する不正または不適切設定のルーターによって生成される不正なRAメッセージからネットワークを保護できます。
RA ガードは、ポリシーを使用してスイッチに設定された特定の基準を満たしているかどうかに基づいて RA メッセージを検証することによって機能します。RA ガードは RA メッセージを検査し、メッセージ属性に含まれる情報を設定されたポリシーと比較します。ポリシーに応じて、RA ガードは条件に一致する RA メッセージをドロップまたは転送します。
RA ガードは、RA メッセージ属性に含まれる次の情報を使用して、RA メッセージの送信元を検証できます。
送信元MACアドレス
送信元 IPv6 アドレス
送信元 IPv6 アドレス プレフィックス
ホップ数制限
ルーター優先優先度
管理された 構成フラグ
その他の 構成フラグ
RA ガードは、ステートレス モードまたはステートフル モードで動作するように設定できます。ステートレス モードでは、デフォルト状態では、インターフェイスで受信した RA メッセージは、そのインターフェイスにアタッチされたポリシーで設定された条件に一致するかどうかに基づいて検査およびフィルタリングされます。RA メッセージの内容が検証されると、RA メッセージが宛先に転送されます。それ以外の場合、RA メッセージはドロップされます。ステートレス モードで動作するインターフェイスの状態は、設定によって変更できます。インターフェイスが 信頼済みとして設定されている場合、すべての RA メッセージはポリシーに対して検証されずに転送されます。インターフェイスが ブロックとして設定されている場合、すべての RA メッセージはポリシーに対して検証されずにドロップされます。
ステートフルモードでは、学習期間中に収集された情報に基づいて、インターフェイスがある状態から別の状態に動的に移行できます。 学習 状態と呼ばれるこの期間中、イングレスRAメッセージはポリシーに照らして検証され、有効なIPv6ルーターとのリンクに接続されているインターフェイスを決定します。学習期間が終了すると、RA メッセージの正当な送信者に接続されたインターフェイスは、 動的に転送 状態に移行します。この状態では、ポリシーに照らして検証できる場合は RA メッセージが転送されます。学習期間中に有効な RA メッセージを受信できなかったインターフェイスは、 ブロック 状態へと動的に移行し、すべての入力 RA メッセージがドロップされます。
表 1 は、ステートレス モードとステートフル モードの IPv6 RA ガードの状態をまとめたものです。
状態 |
形容 |
モード |
---|---|---|
オフ |
インターフェイスは、RAガードが利用できないかのように動作します。 |
ステートレス/ステートフル |
信頼 |
受信したRAメッセージが設定されたポリシールールに照らして検証された場合、インターフェイスはイングレスRAメッセージを転送します。それ以外の場合は、RA メッセージをドロップします。信頼できない状態は、RA ガードが有効になっているインターフェイスのデフォルトの状態です。 |
ステートレス/ステートフル |
ブロック |
インターフェイスは、入力 RA メッセージをブロックします。 |
ステートレス/ステートフル |
回送 |
受信したRAメッセージが設定されたポリシールールに照らして検証された場合、インターフェイスはイングレスRAメッセージを転送します。それ以外の場合は、RA メッセージをドロップします。 |
ステートフル |
学習 |
スイッチは、インターフェイスに接続されたIPv6ルーティングデバイスに関する情報をアクティブに取得します。学習プロセスは、事前定義された期間にわたって行われます。 |
ステートフル |
信頼 |
インターフェイスは、ポリシーに照らして検証することなく、すべてのRAメッセージを直接転送します。 |
ステートレス/ステートフル |
図 1 は、ステートフル RA ガードを有効にした場合の状態の遷移を示しています。図に示されている番号は、次のテキストで説明されています。これらは連続した手順ではありません。
インターフェイスで RA ガードを有効にすると、オフ状態から信頼できない状態に移行します。信頼できない状態は、RA ガードが有効になっているインターフェイスのデフォルトの状態です。
学習状態を要求するコマンドを発行すると、インターフェイスは オフ 状態から 学習 状態に移行します。
学習状態で受信したRAメッセージは、設定されたポリシーと比較されます。
RA メッセージが設定されたポリシーに対して検証されると、インターフェイスは 転送 状態に移行します。
RA メッセージが設定されたポリシーに対して検証されない場合、インターフェイスは ブロック ステートに移行します。
検証済みのインターフェイスで
mark-interface trust
が設定されている場合、 転送 状態から 信頼できる 状態に移行します。ブロックされたインターフェイスで
mark-interface trust
が設定されている場合、 ブロック状態 から 信頼できる 状態に移行します。ブロックされたインターフェイスで学習が要求されると、インターフェイスは ブロック状態 から 学習 状態に移行します。
デフォルトの untrustステート のインターフェイスが
mark-interface trust
に設定されている場合、そのインターフェイスは直接trustedステートに移行します。この場合、そのインターフェイスにポリシーを適用できません。mark-interface trust
設定が削除され、インターフェイスで有効な RA が受信されない場合、インターフェイスはブロック ステートに移行します。転送状態を要求するコマンドを発行すると、インターフェイスは ブロック状態 から 転送 状態に直接移行します。
ブロッキング状態を要求するコマンドを発行すると、インターフェイスは 転送 状態から ブロック状態に直接移行します。
デフォルトの untrusted stateのインターフェイスが
mark-interface block
に設定されている場合、そのインターフェイスは 直接ブロック状態 に移行します。この場合、そのインターフェイスにポリシーを適用できません。