Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

Stateless IPv6 Router Advertisement Guard 구성

무상태 IPv6 라우터 광고(RA) 가드를 사용하면 스위치가 들어오는 RA 메시지를 검사하고 사전 정의된 기준 집합에 따라 필터링할 수 있습니다. 스위치가 RA 메시지의 내용을 검증하면 RA 메시지를 대상으로 전달합니다. 그렇지 않으면 RA 메시지가 삭제됩니다.

IPv6 RA 가드를 활성화하기 전에, 인터페이스에서 수신된 RA 메시지를 검증하는 데 사용할 기준으로 정책을 구성해야 합니다. 기준 충족 여부에 따라 RA 메시지를 수락하거나 폐기하도록 정책을 구성할 수 있습니다. 기준은 RA 메시지에 포함된 정보와 비교됩니다. 정책 기준에 소스 주소 또는 주소 접두사가 포함된 경우 정책을 구성하기 전에 주소 목록을 구성해야 합니다.

RA Guard에 대한 폐기 정책 구성

사전 정의된 소스에서 RA 메시지를 삭제하도록 폐기 정책을 구성할 수 있습니다. 먼저 소스 주소 또는 주소 접두사의 목록을 구성한 다음 정책과 연결해야 합니다. 다음 목록은 폐기 정책과 연관될 수 있습니다.

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

메모:

삭제 정책에 두 개 이상의 목록 유형을 포함할 수 있습니다. 수신된 RA 메시지에 포함된 정보가 목록 매개 변수 중 하나와 일치하면 해당 RA 메시지는 폐기됩니다.

RA 가드에 대한 폐기 정책을 구성하려면 다음을 수행합니다.

  1. RA 가드가 들어오는 RA 메시지를 필터링하는 데 사용할 허용되지 않는 소스 주소 또는 주소 접두사의 하나 이상의 목록을 정의합니다. 구성에서 한 줄에 하나의 주소 또는 주소 접두사를 추가합니다.

    • IPv6 소스 주소 목록을 정의하려면 다음을 수행합니다.

    • IPv6 주소 접두사 목록을 정의하려면:

    • MAC 소스 주소 목록을 정의하려면 다음을 수행합니다.

  2. 정책 이름을 구성합니다.
  3. 삭제 조치를 지정합니다.
  4. 정책을 1단계에서 정의한 목록과 연결합니다. 예를 들어, 목록의 소스 MAC 주소와 일치하는 RA 메시지를 삭제하려면:

RA Guard에 대한 수락 정책 구성

특정 기준에 따라 RA 메시지를 전달하도록 수락 정책을 구성할 수 있습니다. 소스 주소 또는 주소 접두사의 일치 목록을 기준으로 구성하거나 홉 제한, 구성 플래그 또는 라우터 기본 설정과 같은 다른 일치 조건을 기준으로 구성할 수 있습니다.

다음 목록은 옵션을 사용하여 수락 정책과 연결할 수 있습니다.match-list

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

메모:

둘 이상의 일치 목록 유형을 수락 정책과 연결할 수 있습니다. match-all 서브옵션이 구성된 경우, 수신된 RA 메시지가 전달되기 위해서는 구성된 모든 일치 목록과 일치해야 합니다. 그렇지 않으면 삭제됩니다. match-any 옵션이 구성된 경우, 수신된 RA 메시지가 전달되려면 구성된 일치 목록 중 하나와 일치해야 합니다. 구성된 목록 중 하나와도 일치하지 않으면 삭제됩니다.

옵션을 사용하여 다음과 같은 일치 조건을 구성할 수 있습니다.match-option

  • hop-limit- 수신 RA 메시지에 대한 최소 또는 최대 홉 수를 확인하도록 RA guard 정책을 구성합니다.

  • managed-config-flag- 수신 RA 메시지의 매니지드 주소 구성 플래그가 설정되었는지 확인하기 위해 RA 가드 정책을 구성합니다.

  • other-config-flag- 수신 RA 메시지의 다른 구성 플래그가 설정되었는지 확인하기 위해 RA 가드 정책을 구성합니다.

  • router-preference-maximum- 수신 RA 메시지의 기본 라우터 선호 매개변수 값이 지정된 제한보다 낮거나 같은지 확인하기 위해 RA 가드 정책을 구성합니다.

메모:

match-listmatch-option 옵션은 수락 정책에만 사용되며 폐기 정책에는 사용되지 않습니다.

옵션을 사용하여 RA 가드에 대한 수락 정책을 구성하려면 match-list :

  1. RA 가드가 수신 RA 메시지를 필터링하는 데 사용할 승인된 소스 주소 또는 주소 접두사의 하나 이상의 목록을 정의합니다. 구성에서 한 줄에 하나의 주소 또는 주소 접두사를 추가합니다.

    • IPv6 소스 주소 목록을 정의하려면 다음을 수행합니다.

    • IPv6 주소 접두사 목록을 정의하려면:

    • MAC 소스 주소 목록을 정의하려면 다음을 수행합니다.

  2. 정책 이름을 지정합니다.
  3. 수락 작업을 지정합니다.
  4. RA 가드가 모든 목록의 기준을 충족해야 하는지 또는 1에 구성된 목록의 기준을 충족해야 하는지 여부를 지정합니다.

    • 모든 목록에서 일치시키려면 다음을 수행합니다.

    • 목록 중 하나에서 일치시키려면 다음을 수행합니다.

  5. 수락 정책을 1단계에서 구성한 목록과 연결합니다. 예를 들어:

옵션을 사용하여 RA 가드에 대한 수락 정책을 구성하려면 다음을 수행합니다.match-option

  1. 정책 이름을 지정합니다.

  2. 수락 작업을 지정합니다.

  3. 옵션을 사용하여 match-option 일치 조건을 지정합니다. 예를 들어, 최대 홉 수에 대한 일치를 지정하려면 다음을 수행합니다.

인터페이스에서 상태 비저장 RA Guard 활성화

인터페이스에서 상태 비저장 RA 가드를 활성화할 수 있습니다. 먼저 인터페이스에서 수신되는 RA 메시지에 적용되는 정책을 구성해야 합니다. 인터페이스에 정책을 적용한 후에는 해당 VLAN에서도 RA 가드를 활성화해야 합니다. 그렇지 않으면 인터페이스에 적용된 정책이 수신된 RA 패킷에 영향을 미치지 않습니다.

인터페이스에서 스테이트리스 RA 가드를 활성화하려면:

  1. 인터페이스에 정책을 적용합니다.
  2. stateless 인터페이스에서 옵션을 구성합니다.
  3. 해당 VLAN에서 상태 비저장 RA 가드를 활성화합니다.

VLAN에서 스테이트리스 RA 가드 활성화

VLAN별로 또는 모든 VLAN에 대해 상태 비저장 RA 가드를 활성화할 수 있습니다. 먼저 학습 상태에서 수신 RA 메시지를 검증하는 데 사용되는 정책을 구성해야 합니다.

특정 VLAN에서 상태 비저장 RA 가드를 활성화하려면:

  1. VLAN에 정책을 적용합니다.
  2. stateless VLAN에서 옵션을 구성합니다.

모든 VLAN에서 상태 비저장 RA 가드를 활성화하려면:

  1. 모든 VLAN에 정책을 적용합니다.

    메모:

    명령을 set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name사용하여 특정 VLAN에 대해 정책을 구성한 경우 해당 정책은 모든 VLAN에 전역적으로 적용된 정책보다 우선합니다.

  2. stateful 모든 VLAN에서 옵션을 구성합니다.

RA Guard에 의한 검사를 우회하기 위해 인터페이스를 신뢰할 수 있거나 차단됨으로 구성

인터페이스를 신뢰할 수 있거나 차단된 인터페이스로 구성하여 RA 가드에 의한 RA 메시지 검사를 우회할 수 있습니다. RA 메시지가 신뢰할 수 있거나 차단된 인터페이스에서 수신되면 구성된 정책에 대한 검증의 대상이 되지 않습니다. 신뢰할 수 있는 인터페이스는 모든 RA 메시지를 전달합니다. 차단된 인터페이스는 모든 RA 메시지를 삭제합니다.

  • 인터페이스를 신뢰할 수 있는 인터페이스로 구성하려면:
  • 차단된 인터페이스로 구성하기:

관련 문서