Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 라우터 애드버타이드 가드 이해

IPv6 구축 시 라우터는 주기적으로 RA(Router Advertisement) 메시지를 멀티캐스트하여 사용 가능성을 알리고 인접 노드에 정보를 전달하여 네트워크에서 자동으로 구성될 수 있도록 합니다. RA 메시지는 NDP(Neighbor Discovery Protocol)에서 이웃을 탐지하고, IPv6 접두사를 광고하고, 주소 프로비저닝을 지원하고, 최대 전송 단위(MTU), 홉 제한, 광고 간격 및 수명과 같은 링크 매개 변수를 공유하는 데 사용됩니다. 호스트는 IPv6 주소 자동 구성 및 인접 라우터의 링크-로컬 주소 검색을 위해 RA 메시지를 수신하며, 라우터 요청(RS) 메시지를 전송하여 즉각적인 광고를 요청할 수도 있습니다.

RA 메시지는 보안되지 않으므로 링크 레이어 주소의 스푸핑(또는 위조)과 관련된 네트워크 공격에 취약합니다. 또한 사용자 또는 관리자가 의도하지 않은 잘못된 구성으로 인해 원치 않거나 악의적인 RA 메시지가 존재할 수 있으며, 이로 인해 인접 호스트에 운영 문제가 발생할 수 있습니다. IPv6 라우터 광고(RA) 가드를 구성하여 네트워크 세그먼트에 연결하는 무단 또는 부적절하게 구성된 라우터에 의해 생성되는 불량 RA 메시지로부터 네트워크를 보호할 수 있습니다.

RA 가드는 정책을 사용하여 스위치에 구성된 특정 기준을 충족하는지 여부에 따라 RA 메시지를 검증하는 방식으로 작동합니다. RA 가드는 RA 메시지를 검사하고 메시지 속성에 포함된 정보를 구성된 정책과 비교합니다. 정책에 따라 RA 가드는 조건과 일치하는 RA 메시지를 삭제하거나 전달합니다.

RA 메시지 속성에 포함된 다음 정보는 RA 가드가 RA 메시지 소스를 검증하는 데 사용할 수 있습니다.

  • 소스 MAC 주소

  • 소스 IPv6 주소

  • 소스 IPv6 주소 접두사

  • 홉 수 제한

  • 라우터 기본 설정 우선 순위

  • 관리되는 구성 플래그

  • 기타 구성 플래그

RA 가드가 스테이트리스 또는 스테이트풀 모드에서 작동하도록 구성할 수 있습니다. 상태 비저장 모드의 기본 상태에서는 인터페이스에서 수신되는 RA 메시지가 해당 인터페이스에 연결된 정책에 구성된 조건과 일치하는지 여부에 따라 검사 및 필터링됩니다. RA 메시지의 내용이 검증되면, RA 메시지를 목적지로 전달합니다. 그렇지 않으면 RA 메시지가 삭제됩니다. 상태 비저장 모드에서 작동하는 인터페이스의 상태는 구성에 의해 변경될 수 있습니다. 인터페이스가 신뢰할 수 있는 것으로 구성되면 모든 RA 메시지는 정책에 대해 검증되지 않고 전달됩니다. 인터페이스가 차단된 것으로 구성되면 모든 RA 메시지는 정책에 대해 검증되지 않고 삭제됩니다.

상태 저장 모드에서 인터페이스는 학습 기간 동안 수집된 정보를 기반으로 한 상태에서 다른 상태로 동적으로 전환할 수 있습니다. 학습 상태라고 하는 이 기간 동안 수신 RA 메시지는 정책에 대해 검증되어 유효한 IPv6 라우터가 있는 링크에 연결된 인터페이스를 결정합니다. 학습 기간이 끝나면 RA 메시지의 합법적인 발신자에게 연결된 인터페이스는 포워딩 상태로 동적으로 전환되며, 이 상태에서 RA 메시지는 정책에 대해 검증할 수 있는 경우 포워딩됩니다. 학습 기간 동안 유효한 RA 메시지를 수신하지 않는 인터페이스는 모든 수신 RA 메시지가 삭제되는 차단 된 상태로 동적으로 전환됩니다.

표 1 에는 스테이트리스 모드와 스테이트풀 모드 모두에 대한 IPv6 RA 가드의 상태가 요약되어 있습니다.

표 1: IPv6 RA 가드 상태

상태

묘사

모드

끄기

인터페이스는 RA 가드를 사용할 수 없는 것처럼 작동합니다.

상태 비저장/상태 저장

신뢰할 수 없는

인터페이스는 수신된 RA 메시지가 구성된 정책 규칙에 대해 검증되면 수신 RA 메시지를 전달합니다. 그렇지 않으면 RA 메시지가 삭제됩니다. 신뢰할 수 없는 상태는 RA 가드에 대해 활성화된 인터페이스의 기본 상태입니다.

상태 비저장/상태 저장

막힌

인터페이스는 수신 RA 메시지를 차단합니다.

상태 비저장/상태 저장

전달

인터페이스는 수신된 RA 메시지가 구성된 정책 규칙에 대해 검증되면 수신 RA 메시지를 전달합니다. 그렇지 않으면 RA 메시지가 삭제됩니다.

상태

공부

스위치는 인터페이스에 연결된 IPv6 라우팅 디바이스에 대한 정보를 능동적으로 획득합니다. 학습 과정은 미리 정의된 기간 동안 진행됩니다.

상태

신뢰할 수 있는

인터페이스는 모든 RA 메시지를 정책에 대해 검증하지 않고 직접 전달합니다.

상태 비저장/상태 저장

그림 1 은 스테이트풀 RA 가드가 활성화되었을 때의 상태 전환을 보여줍니다. 그림에 표시된 숫자는 다음 텍스트에 설명되어 있습니다. 이러한 단계는 순차적이지 않습니다.

그림 1: 스테이트풀 RA 가드 상태 전환 Stateful RA Guard State Transitions

  1. 인터페이스에서 RA 가드가 활성화되면 꺼짐 상태에서 신뢰할 수 없는 상태로 이동합니다. 신뢰할 수 없는 상태는 RA 가드에 대해 활성화된 인터페이스의 기본 상태입니다.

  2. 학습 상태를 요청하는 명령이 실행되면 인터페이스가 꺼짐 상태에서 학습 상태로 전환됩니다.

  3. 학습 상태 동안 수신된 RA 메시지는 구성된 정책과 비교됩니다.

  4. 구성된 정책에 대해 RA 메시지가 검증되면 인터페이스가 포워딩 상태로 이동합니다.

  5. 구성된 정책에 대해 RA 메시지가 검증되지 않으면 인터페이스가 차단됨 상태로 이동합니다.

  6. 이(가) 검증된 인터페이스에 구성된 경우 mark-interface trust 전달 상태에서 신뢰할 수 있는 상태로 이동합니다.

  7. 이 차단된 인터페이스에 구성된 경우 mark-interface trust 차단된 상태에서 신뢰할 수 있는 상태로 이동합니다.

  8. 차단된 인터페이스에서 학습이 요청되면 인터페이스는 차단된 상태에서 학습 상태로 이동합니다.

  9. 신뢰할 수 없는 기본 상태의 인터페이스가 로 mark-interface trust구성된 경우 바로 신뢰할 수 있는 상태로 이동합니다. 이 경우 해당 인터페이스에 정책을 적용할 수 없습니다.

  10. mark-interface trust 구성이 삭제되고 인터페이스에서 유효한 RA가 수신되지 않으면 인터페이스가 차단됨 상태로 이동합니다.

  11. 포워딩 상태를 요청하는 명령이 실행되면 인터페이스가 바로 차단됨 상태에서 포워딩 상태로 이동합니다.

  12. 차단 상태를 요청하는 명령이 실행되면 인터페이스가 전달 에서 차단으로 바로 이동합니다.

  13. 신뢰할 수 없는 기본 상태의 인터페이스가 로 구성된 mark-interface block경우 차단됨 상태로 바로 이동합니다. 이 경우 해당 인터페이스에 정책을 적용할 수 없습니다.

관련 문서