Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de protección publicitaria del enrutador IPv6 sin estado

La protección de anuncio de enrutador IPv6 (RA) sin estado permite que el conmutador examine los mensajes de RA entrantes y los filtre según un conjunto predefinido de criterios. Si el conmutador valida el contenido del mensaje de RA, reenvía el mensaje de RA a su destino; de lo contrario, se elimina el mensaje RA.

Antes de poder habilitar la protección de RA IPv6, debe configurar una directiva con los criterios que se utilizarán para validar los mensajes de RA recibidos en una interfaz. Puede configurar la directiva para aceptar o descartar mensajes de RA en función de si cumplen los criterios. Los criterios se comparan con la información incluida en los mensajes de la AR. Si los criterios de la directiva incluyen direcciones de origen o prefijos de dirección, debe configurar una lista de las direcciones antes de configurar la directiva.

Configuración de una directiva de descarte para RA Guard

Puede configurar una directiva de descarte para eliminar mensajes de RA de orígenes predefinidos. Primero debe configurar una lista o listas de direcciones o prefijos de direcciones de origen y, a continuación, asociarlas a una directiva. Las siguientes listas se pueden asociar a la directiva de descarte:

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Nota:

Puede incluir más de un tipo de lista en una política de descarte. Si la información contenida en un mensaje de RA recibido coincide con cualquiera de los parámetros de la lista, entonces ese mensaje de RA se descarta.

Para configurar una directiva de descarte para la protección de RA:

  1. Defina una o más listas de direcciones de origen no permitidas o prefijos de dirección que RA guard usará para filtrar los mensajes de RA entrantes. Agregue una dirección o un prefijo de dirección por línea en la configuración.

    • Para definir una lista de direcciones de origen IPv6:

    • Para definir una lista de prefijos de direcciones IPv6:

    • Para definir una lista de direcciones de origen MAC:

  2. Configure el nombre de la directiva:
  3. Especifique la acción de descarte:
  4. Asocie la directiva con la lista o listas definidas en el paso 1. Por ejemplo, para descartar mensajes RA que coincidan con una dirección MAC de origen de la lista:

Configuración de una política de aceptación para RA Guard

Puede configurar una directiva de aceptación para reenviar mensajes de RA en función de determinados criterios. Puede configurar listas de coincidencia de direcciones de origen o prefijos de dirección como criterios, o puede configurar otras condiciones de coincidencia, como el límite de saltos, los indicadores de configuración o la preferencia del enrutador como criterios.

Las siguientes listas se pueden asociar a una directiva de aceptación mediante la match-list opción:

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

Nota:

Puede asociar más de un tipo de lista de coincidencias con una política de aceptación. Si la match-all subopción está configurada, un mensaje de RA recibido debe coincidir con todas las listas de coincidencias configuradas para poder reenviarse; de lo contrario, se descarta. Si la match-any opción está configurada, un mensaje de RA recibido debe coincidir con cualquiera de las listas de coincidencia configuradas para poder reenviarse; si no coincide con ninguna de las listas configuradas, se descarta.

Las siguientes condiciones de coincidencia se pueden configurar mediante la match-option opción:

  • hop-limit: configure la política de protección de RA para verificar el recuento de saltos mínimo o máximo para un mensaje de RA entrante.

  • managed-config-flag: configure la política de protección de RA para comprobar que se ha establecido el indicador de configuración de direcciones administradas de un mensaje de RA entrante.

  • other-config-flag: configure la política de protección de RA para comprobar que se ha establecido el otro indicador de configuración de un mensaje de RA entrante.

  • router-preference-maximum: configure la política de protección de RA para comprobar que el valor predeterminado del parámetro de preferencia de enrutador de un mensaje de RA entrante es inferior o igual que un límite especificado.

Nota:

Las match-list opciones y match-option solo se usan en las directivas de aceptación, no en las directivas de descarte.

Para configurar una directiva de aceptación para la protección de RA mediante la match-list opción:

  1. Defina una o más listas de direcciones de origen autorizadas o prefijos de dirección que RA Guard usará para filtrar los mensajes de RA entrantes. Agregue una dirección o un prefijo de dirección por línea en la configuración.

    • Para definir una lista de direcciones de origen IPv6:

    • Para definir una lista de prefijos de direcciones IPv6:

    • Para definir una lista de direcciones de origen MAC:

  2. Especifique el nombre de la directiva:
  3. Especifique la acción de aceptación:
  4. Especifique si la protección de RA debe cumplir los criterios de todas las listas o de cualquiera de las listas configuradas en 1:

    • Para coincidir en todas las listas:

    • Para coincidir en cualquiera de las listas:

  5. Asocie la directiva de aceptación con la lista o listas configuradas en el paso 1. Por ejemplo:

Para configurar una política de aceptación para la protección de RA mediante la match-option opción:

  1. Especifique el nombre de la directiva:

  2. Especifique la acción de aceptación:

  3. Especifique las condiciones de coincidencia mediante la match-option opción. Por ejemplo, para especificar una coincidencia en el número máximo de saltos:

Habilitación de la protección de RA sin estado en una interfaz

Puede habilitar la protección de RA sin estado en una interfaz. Primero debe configurar una directiva, que se aplica a los mensajes RA entrantes en la interfaz o interfaces. Después de aplicar una política a una interfaz, también debe habilitar la protección de RA en la VLAN correspondiente; de lo contrario, la directiva aplicada a la interfaz no tiene ningún impacto en los paquetes RA recibidos.

Para habilitar la protección de RA sin estado en una interfaz:

  1. Aplicar una política a una interfaz:
  2. Configure la stateless opción en la interfaz:
  3. Habilite la protección de RA sin estado en la VLAN correspondiente:

Habilitación de la protección de RA sin estado en una VLAN

Puede habilitar la protección de RA sin estado por VLAN o para todas las VLAN. Primero debe configurar una directiva, que se utiliza para validar los mensajes de RA entrantes en el estado de aprendizaje.

Para habilitar la protección de RA sin estado en una VLAN específica:

  1. Aplicar una política a una VLAN.
  2. Configure la stateless opción en la VLAN:

Para habilitar la protección de RA sin estado en todas las VLAN:

  1. Aplique una política a todas las VLAN.

    Nota:

    Si se ha configurado una política para una VLAN específica mediante el comando set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-name, dicha política tiene prioridad sobre la política aplicada globalmente a todas las VLAN.

  2. Configure la stateful opción en todas las VLAN:

Configuración de una interfaz como de confianza o bloqueada para omitir la inspección por parte de RA Guard

Puede configurar una interfaz como de confianza o bloqueada para omitir la inspección de mensajes de RA por parte de RA Guard. Cuando se recibe un mensaje de RA en una interfaz de confianza o bloqueada, no está sujeto a validación según la directiva configurada. Una interfaz de confianza reenvía todos los mensajes de RA. Una interfaz bloqueada descarta todos los mensajes RA.

  • Para configurar una interfaz como de confianza:
  • Para configurar una interfaz como bloqueada:

Documentación relacionada