ステートレス IPv6 ルーター アドバタイズ ガードの設定
ステートレス IPv6 ルーター アドバタイズメント(RA)ガードを使用すると、スイッチは着信 RA メッセージを調べ、事前定義された一連の基準に基づいてフィルタリングできます。スイッチは、RA メッセージの内容を検証すると、RA メッセージを宛先に転送します。それ以外の場合、RA メッセージはドロップされます。
IPv6 RA ガードを有効にする前に、インターフェイスで受信した RA メッセージの検証に使用する基準を持つポリシーを設定する必要があります。基準を満たすかどうかに基づいて、RA メッセージを受け入れるか破棄するかのポリシーを設定できます。基準は、RA メッセージに含まれる情報と比較されます。ポリシーの条件に送信元アドレスまたはアドレス プレフィックスが含まれている場合は、ポリシーを設定する前にアドレスのリストを設定する必要があります。
RA ガードの廃棄ポリシーの設定
破棄ポリシーを設定して、事前定義された送信元から RA メッセージをドロップできます。最初に送信元アドレスまたはアドレスプレフィックスのリストを設定し、ポリシーに関連付ける必要があります。次のリストは、破棄ポリシーに関連付けることができます。
source-ip-address-list
source-mac-address-list
prefix-list-name
破棄ポリシーには、複数の種類のリストを含めることができます。受信した RA メッセージに含まれる情報がリスト パラメータのいずれかと一致する場合、その RA メッセージは破棄されます。
RA ガードの廃棄ポリシーを設定するには、次の手順を実行します。
RA ガードの受け入れポリシーの設定
特定の基準に基づいて RA メッセージを転送する受け入れポリシーを設定できます。送信元アドレスまたはアドレスプレフィックスの一致リストを基準として設定することも、ホップ制限、設定フラグ、ルータープリファレンスなどの他の一致条件を基準として設定することもできます。
次のリストは、 match-list
オプションを使用して受け入れポリシーに関連付けることができます。
source-ip-address-list
source-mac-address-list
prefix-list-name
複数のタイプの一致リストを受け入れポリシーに関連付けることができます。 match-all
サブオプションが設定されている場合、受信したRAメッセージが転送されるには、設定されているすべての一致リストに一致する必要があります。一致しない場合は破棄されます。 match-any
オプションが設定されている場合、受信したRAメッセージが転送されるには、設定された一致リストのいずれかに一致する必要があります。設定されたリストのいずれにも一致しない場合、破棄されます。
match-option
オプションを使用して、以下の一致条件を設定できます。
hop-limit
- RA ガード ポリシーを設定して、着信 RA メッセージの最小ホップ数または最大ホップ数を確認します。managed-config-flag
- RA ガード ポリシーを設定して、着信 RA メッセージの管理対象アドレス設定フラグが設定されていることを確認します。other-config-flag
- RA ガード ポリシーを設定して、着信 RA メッセージの他の設定フラグが設定されていることを確認します。router-preference-maximum
- RA ガード ポリシーを設定して、着信 RA メッセージのデフォルト ルーター プリファレンス パラメータ値が、指定された制限値以下であることを確認します。
match-list
オプションとmatch-option
オプションは、受け入れポリシーでのみ使用され、破棄ポリシーでは使用されません。
match-list
オプションを使用して RA ガードの受け入れポリシーを設定するには、次の手順に従います。
match-option
オプションを使用して RA ガードの受け入れポリシーを設定するには、次の手順に従います。
ポリシー名を指定します。
[edit] user@switch# set forwarding-options access-security router-advertisement-guard policy policy-name
accept アクションを指定します。
[edit forwarding-options access-security router-advertisement-guard policy policy-name] user@switch# set accept
match-option
オプションを使用して、照合条件を指定します。例えば、最大ホップ数での一致を指定するには、以下のようにします。[edit forwarding-options access-security router-advertisement-guard policy policy-name accept] user@switch# set match-option hop-limit maximum value
インターフェイスでのステートレス RA ガードの有効化
インターフェイスでステートレス RA ガードをイネーブルにできます。最初に、インターフェイス上の着信RAメッセージに適用されるポリシーを設定する必要があります。インターフェイスにポリシーを適用した後、対応するVLANでRAガードも有効にする必要があります。それ以外の場合、インターフェイスに適用されたポリシーは、受信した RA パケットに影響を与えません。
インターフェイスでステートレス RA ガードを有効にするには:
VLAN でのステートレス RA ガードの有効化
ステートレス RA ガードは、VLAN 単位またはすべての VLAN に対して有効にできます。最初に、学習状態の着信 RA メッセージを検証するために使用されるポリシーを設定する必要があります。
特定の VLAN でステートレス RA ガードを有効にするには:
すべての VLAN でステートレス RA ガードを有効にするには、次の手順を実行します。
すべての VLAN にポリシーを適用します。
[edit] user@switch# set forwarding-options access-security router-advertisement-guard vlans all policy policy-name
手記:コマンド
set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name
を使用して特定のVLANに対してポリシーが設定されている場合、そのポリシーはすべてのVLANにグローバルに適用されるポリシーよりも優先されます。すべての VLAN で
stateful
オプションを設定します。[edit forwarding-options access-security router-advertisement-guard vlans all policy policy-name] user@switch# set stateful
RA Guardによる検査をバイパスするためのインターフェイスの信頼済みまたはブロック済みとしての設定
インターフェイスを信頼またはブロックとして設定して、RA ガードによる RA メッセージの検査をバイパスできます。RAメッセージが信頼できるインターフェイスまたはブロックされたインターフェイスで受信された場合、設定されたポリシーに対する検証の対象にはなりません。信頼できるインターフェイスは、すべての RA メッセージを転送します。ブロックされたインターフェイスは、すべての RA メッセージを破棄します。