ステートフルIPv6ルーターアドバタイズメントガードの設定
ステートフルIPv6ルーターアドバタイズメント(RA)ガードにより、スイッチは一定期間、RAメッセージの送信元を学習できます。スイッチが学習状態であることがわかっているこの期間中は、受信した RA メッセージ属性に含まれる情報が保存され、ポリシーと比較されます。学習期間の終了時に、スイッチは、有効な IPv6 ルーターとのリンクに接続されているインターフェイスの記録を取得します。インターフェイスに有効な IPv6 ルーターが接続されていない場合、スイッチはインターフェイスを学習状態からブロッキング状態に動的に移行します。ブロッキング ステートへの移行後に受信した後続の RA メッセージはドロップされます。インターフェイスに有効な IPv6 ルーターが接続されている場合、インターフェイスは転送状態に移行します。転送状態では、設定されたポリシーに対して検証可能な RA メッセージが転送されます。
インターフェイス上で転送状態またはブロッキング状態を静的に設定することで、動的な状態遷移を上書きできます。インターフェイスで状態を静的に設定する場合、状態は設定によってのみ変更できます。たとえば、インターフェイスに転送状態を設定した場合、そのインターフェイスに別の状態を設定するまで、インターフェイスは転送状態のままになります。
インターフェイスまたはVLANでIPv6 RAガードを有効にする前に、ポリシーを設定する必要があります。ステートフル RA ガードは、ポリシーを使用して、インターフェイスで受信した RA メッセージが有効な送信者からのものであるかどうかを判断します。事前定義された基準を満たす RA メッセージを受け入れるか破棄するかを選択するようにポリシーを設定できます。ポリシーの条件に送信元アドレスまたはアドレス プレフィックスが含まれている場合は、ポリシーを設定する前にアドレスのリストを設定する必要があります。
インターフェイスでのステートフル RA ガードの有効化
インターフェイスでステートフル RA ガードをイネーブルにできます。まず、学習期間中に着信 RA メッセージを検証するために使用されるポリシーを設定する必要があります。インターフェイスに RA ガード ポリシーを適用した後、対応する VLAN で RA ガードを有効にする必要があります。
インターフェイスでステートフル RA ガードを有効にするには:
VLANでのステートフルRAガードの有効化
ステートフル RA ガードは、VLAN 単位またはすべての VLAN に対して有効にできます。最初に、学習状態中に着信RAメッセージを検証するために使用されるポリシーを設定する必要があります。
特定の VLAN でステートフル RA ガードを有効にするには:
すべての VLAN でステートフル RA ガードを有効にするには:
すべての VLAN にポリシーを適用します。
[edit] user@switch# set forwarding-options access-security router-advertisement-guard vlans all policy policy-name
手記:コマンド
set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name
を使用して特定のVLANに対してポリシーが設定されている場合、そのポリシーはすべてのVLANにグローバルに適用されるポリシーよりも優先されます。すべての VLAN で
stateful
オプションを設定します。[edit forwarding-options access-security router-advertisement-guard vlans all policy policy-name] user@switch# set stateful
インターフェイスでの学習状態の設定
ステートフル RA ガードが最初にイネーブルになったとき、デフォルトの状態は オフです。オフ状態のインターフェイスは、RAガードが利用できないかのように動作します。インターフェイスを学習状態に移行するには、インターフェイスでの学習をリクエストする必要があります。学習状態のインターフェイスは、受信した RA メッセージからアクティブに情報を取得します。
インターフェイスでステートフル RA ガード学習を設定するには:
インターフェイスでの転送状態の設定
転送状態のインターフェイスは、設定されたポリシーに照らして検証できるイングレスRAメッセージを受け入れ、宛先に転送します。インターフェイスは、学習状態から直接転送状態に動的に移行することも、インターフェイス上で静的に転送状態を設定することもできます。
[edit] user@switch# request access-security router-advertisement-guard-forward interface interface-name
インターフェイスでのブロッキング状態の設定
ブロッキング状態のインターフェイスは、イングレスRAメッセージをブロックします。インターフェイスは、学習状態から直接動的にブロッキング ステートに移行することも、インターフェイス上でブロッキング ステートを静的に設定することもできます。ブロッキング ステートになるように静的に設定されたインターフェイスは、そのインターフェイスで別のステートが設定されるまでブロッキング ステートのままになります。
[edit] user@switch# request access-security router-advertisement-guard-block interface interface-name