Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6ルーターアドバタイズメントガードについて

IPv6の導入では、ルーターは定期的にルーターアドバタイズメント(RA)メッセージをマルチキャストして、その可用性を通知し、ネットワーク上で自動的に構成できるように隣接するノードに情報を伝達します。RA メッセージは、近隣検索プロトコル(NDP)によって使用され、ネイバーの検出、IPv6 プレフィックスのアドバタイズ、アドレス プロビジョニングの支援、MTU(最大送信単位)、ホップ制限、アドバタイズ間隔、ライフタイムなどのリンク パラメータの共有を行います。ホストは、IPv6 アドレスの自動設定と隣接ルーターのリンクローカル アドレスの検出に関する RA メッセージをリッスンし、ルーター要請(RS)メッセージを送信して即時アドバタイズメントを要求することもできます。

RAメッセージはセキュリティで保護されていないため、リンク層アドレスのスプーフィング(または偽造)を伴うネットワーク攻撃の影響を受けやすくなります。また、ユーザーまたは管理者による意図しない設定ミスは、望ましくない、または不正な RA メッセージの存在につながり、隣接するホストで運用上の問題を引き起こす可能性があります。IPv6ルーターアドバタイズメント(RA)ガードを設定して、ネットワークセグメントに接続している不正または不適切に設定されたルーターによって生成された不正なRAメッセージからネットワークを保護できます。

RAガードは、ポリシーを使用してスイッチ上で設定された特定の基準を満たしているかどうかに基づいてRAメッセージを検証することで機能します。RA ガードは RA メッセージを検査し、メッセージ属性に含まれる情報を設定されたポリシーと比較します。ポリシーに応じて、RA ガードは条件に一致する RA メッセージをドロップまたは転送します。

RA メッセージ属性に含まれる以下の情報は、RA ガードが RA メッセージの送信元を検証するために使用できます。

  • 送信元MACアドレス

  • 送信元 IPv6 アドレス

  • 送信元 IPv6 アドレスのプレフィックス

  • ホップカウント制限

  • ルーター優先優先度

  • 管理構成フラグ

  • その他の構成フラグ

RA ガードは、ステートレス モードまたはステートフル モードで動作するように設定できます。ステートレス モードでは、デフォルト状態では、インターフェイスで受信された RA メッセージは、そのインターフェイスに付加されたポリシーで設定された条件に一致するかどうかに基づいて検査およびフィルタリングされます。RA メッセージの内容が検証されると、RA メッセージは宛先に転送されます。それ以外の場合、RA メッセージはドロップされます。ステートレス モードで動作するインターフェイスの状態は、設定によって変更することができます。インターフェイスが 信頼できるものとして設定されている場合、すべての RA メッセージはポリシーに対して検証されずに転送されます。インターフェイスが ブロックとして設定されている場合、ポリシーに対して検証されることなく、すべての RA メッセージがドロップされます。

ステートフル モードでは、学習期間中に収集された情報に基づいて、インターフェイスがある状態から別の状態に動的に遷移できます。 学習 状態と呼ばれるこの期間中、イングレスRAメッセージはポリシーに対して検証され、どのインターフェイスが有効なIPv6ルーターとのリンクに接続されているかを判断します。学習期間が終了すると、RA メッセージの正当な送信者に接続されたインターフェイスは、ポリシーに照らして検証できる場合、RA メッセージが転送される 転送状態に 動的に移行します。学習期間中に有効な RA メッセージを受信しなかったインターフェイスは、 ブロックされた 状態に動的に遷移し、すべてのイングレス RA メッセージがドロップされます。

表 1 は、ステートレス モードとステートフル モードの両方における IPv6 RA ガードの状態をまとめたものです。

表 1:IPv6 RA ガードの状態

状態

形容

モード

オフ

インターフェイスは、RA ガードが使用できないかのように動作します。

ステートレス/ステートフル

信頼

受信した RA メッセージが設定されたポリシー ルールに照らして検証されると、インターフェイスは入力 RA メッセージを転送します。それ以外の場合は、RA メッセージをドロップします。信頼できない状態は、RA ガードが有効になっているインターフェイスのデフォルト状態です。

ステートレス/ステートフル

ブロック

インターフェイスは、イングレスRAメッセージをブロックします。

ステートレス/ステートフル

回送

受信した RA メッセージが設定されたポリシー ルールに照らして検証されると、インターフェイスは入力 RA メッセージを転送します。それ以外の場合は、RA メッセージをドロップします。

ステートフル

学習

スイッチは、インターフェイスに接続されたIPv6ルーティングデバイスに関する情報をアクティブに取得します。学習プロセスは、事前に定義された期間にわたって行われます。

ステートフル

信頼

インターフェイスは、ポリシーに対して検証することなく、すべての RA メッセージを直接転送します。

ステートレス/ステートフル

図 1 は、ステートフル RA ガードが有効な場合の状態の遷移を示しています。図に示されている番号は、次のテキストで説明されています。これらはシーケンシャルなステップではありません。

図 1:ステートフル RA ガードの状態遷移 Flowchart of a process: OFF state to UNTRUSTED, then Learning, deciding on conditions met. Leads to Blocking or Forwarding, Forwarding to Trusted, looping back.

  1. インターフェイスで RA ガードがイネーブルになると、オフ状態から信頼できないステートに移行します。信頼できない状態は、RA ガードが有効になっているインターフェイスのデフォルト状態です。

  2. 学習状態を要求するコマンドが発行されると、インターフェイスは オフ 状態から 学習 状態に移行します。

  3. 学習状態中に受信した RA メッセージは、設定されたポリシーと比較されます。

  4. RA メッセージが設定されたポリシーに対して検証されると、インターフェイスは転送状態に移行し ます

  5. RA メッセージが設定されたポリシーに対して検証されない場合、インターフェイスは ブロック 状態に移行します。

  6. 検証済みインターフェイスで mark-interface trust が設定されている場合、転送状態から信頼済み状態に移行します

  7. ブロックされたインターフェイスで mark-interface trust が設定されている場合、 ブロック 状態から 信頼状態 に移行します。

  8. ブロックされたインターフェイスで学習が要求された場合、インターフェイスは ブロック 状態から 学習 状態に移行します。

  9. デフォルトの untrusted 状態のインターフェイスが mark-interface trust として設定されている場合、そのインターフェイスは直接 trusted 状態に移行します。この場合、そのインターフェイスにポリシーを適用できません。

  10. mark-interface trust設定が削除され、インターフェイスで有効なRAが受信されない場合、インターフェイスはブロック状態に移行します。

  11. 転送状態を要求する コマンドが発行されると、インターフェイスは ブロック 状態から転送状態に直接移行 します

  12. ブロッキング状態を要求するコマンドが発行されると、インターフェイスは直接 転送 から ブロックに移行します

  13. デフォルトの 信頼できない 状態のインターフェイスが mark-interface block として設定されている場合、そのインターフェイスは 直接ブロック状態 に移行します。この場合、そのインターフェイスにポリシーを適用できません。

関連資料