Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ステートフル IPv6 ルーター アドバタイズメント ガードの設定

ステートフル IPv6 ルーター アドバタイズメント(RA)ガードにより、スイッチは RA メッセージの送信元を一定期間学習できます。この期間中、スイッチが学習状態であることがわかっている間に、受信した RA メッセージ属性に含まれる情報が保存され、ポリシーと比較されます。学習期間の終了時には、有効な IPv6 ルーターとのリンクに接続されているインターフェイスの記録がスイッチに記録されます。インターフェイスに有効な IPv6 ルーターが接続されていない場合、スイッチはインターフェイスを学習状態からブロック状態に動的に移行します。ブロッキング状態への移行後に受信した後続の RA メッセージは破棄されます。インターフェイスに有効な IPv6 ルーターが接続されている場合、インターフェイスは転送状態に移行します。転送状態では、設定済みのポリシーに対して検証できる RA メッセージが転送されます。

インターフェイス上の転送状態またはブロッキング状態を静的に設定することで、動的な状態遷移をオーバーライドできます。インターフェイス上の状態を静的に設定すると、設定を介してのみ状態を変更できます。たとえば、インターフェイスで転送状態を設定した場合、そのインターフェイスで別の状態を設定するまで、インターフェイスは転送状態のままです。

インターフェイスまたは VLAN で IPv6 RA ガードを有効にするには、ポリシーを設定する必要があります。ステートフル RA ガードは、ポリシーを使用して、インターフェイスで受信した RA メッセージが有効な送信者のメッセージかどうかを判断します。ポリシーは、事前定義された基準を満たす RA メッセージを受け入れるか破棄するように設定できます。ポリシーの基準に送信元アドレスまたはアドレス プレフィックスが含まれている場合は、ポリシーを設定する前にアドレスのリストを設定する必要があります。

インターフェイスでのステートフル RA ガードの有効化

インターフェイスでステートフル RA ガードを有効にできます。まず、学習期間中に受信 RA メッセージを検証するために使用されるポリシーを設定する必要があります。RA ガード ポリシーをインターフェイスに適用した後、対応する VLAN で RA ガードを有効にする必要があります。

インターフェイスでステートフル RA ガードを有効にするには、次の手順に基づいて設定します。

  1. インターフェイスにポリシーを適用します。
  2. インターフェイスでオプションを stateful 設定します。
  3. 対応する VLAN でステートフル RA ガードを有効にします。

VLAN でのステートフル RA ガードの有効化

ステートフル RA ガードは、VLAN 単位またはすべての VLAN で有効にできます。まず、学習状態中に受信 RA メッセージを検証するために使用するポリシーを設定する必要があります。

特定の VLAN でステートフル RA ガードを有効にするには、次の手順に基づきます。

  1. VLAN にポリシーを適用します。
  2. VLAN でオプションを stateful 設定します。

すべての VLAN でステートフル RA ガードを有効にするには、次の手順に基づいて設定します。

  1. ポリシーをすべての VLAN に適用します。

    メモ:

    コマンド set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-nameを使用して特定の VLAN にポリシーが設定されている場合、そのポリシーは、すべての VLAN にグローバルに適用されたポリシーよりも優先されます。

  2. すべての VLAN でオプションを stateful 設定します。

インターフェイスでの学習状態の設定

ステートフル RA ガードが最初に有効になっている場合、デフォルトの状態は オフになります。オフ状態のインターフェイスは、RA ガードが使用できないかのように動作します。インターフェイスを学習状態に移行するには、インターフェイスで学習を要求する必要があります。学習状態のインターフェイスは、受信した RA メッセージから積極的に情報を取得します。

インターフェイス上でステートフルRAガード学習を設定するには、次の手順に基づいて学習します。

  1. インターフェイスで学習をリクエストします。
  2. 学習期間を秒単位で設定します。
  3. 学習期間中に受信したイングレスRAメッセージに対して実行するアクションを設定します。学習期間中に受信したRAメッセージを転送するには、インターフェイス上で転送を設定します。
    • 学習期間中に RA メッセージを転送するには、以下の手順にしたがってください。

    • 学習期間中に RA メッセージをブロックするには、以下の手順にしたがってください。

インターフェイスでの転送状態の設定

転送状態のインターフェイスは、設定されたポリシーに対して検証できるイングレス RA メッセージを受け入れ、宛先に転送します。インターフェイスは、学習状態から直接転送状態に動的に移行することも、転送状態をインターフェイス上で静的に設定することもできます。

インターフェイスで転送状態を設定するには、次の手順にしたがってください。

インターフェイスでのブロッキング状態の設定

ブロック状態のインターフェイスは、イングレス RA メッセージをブロックします。インターフェイスは、学習状態から直接ブロック状態に動的に移行することも、ブロック状態をインターフェイス上で静的に設定することもできます。静的にブロック状態になるように設定されたインターフェイスは、そのインターフェイス上で別の状態が設定されるまで、ブロッキング状態のままになります。

インターフェイスでブロック状態を設定するには、次の手順にしたがっています