我看到Cisco具有“ IPv6 RA Guard” ...但这只是在路由器上运行吗?和“反击”正确的RA?让交换机从网络中过滤出伪造的RA会更有意义吗? (或者我对伪造的RA过于偏执?)
#1 楼
这来自IOS 15.2T的配置指南。该功能称为RA保护。基本上,您将创建一个策略并定义该策略将应用到的端口是通向主机还是路由器。然后,您可以更具体一些,并在跳数限制,managed-config-flag上进行匹配,并在ACL上进行匹配,并在一定范围内信任源应来自该ACL。您还可以使端口受信任,而不进行任何进一步的检查。在某些方面,这与DHCP侦听非常相似。基本步骤是:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
然后您可以使用此命令来验证:
show ipv6 nd raguard policy
如果您交换机支持该功能,则尽早捕获RA才有意义。我不认为这是偏执狂。对于DHCP也可以这样说。有时甚至不是恶意用户,这只是人们不了解或将糟糕的设备连接到网络的一种情况。
#2 楼
从RFC 6105:“ RA-Guard适用于IPv6终端设备之间的所有消息都经过受控L2网络设备的环境。”也就是说,它按照您所说的去做。在切换端口入口处过滤掉非法RA。它的工作原理是阻止与接受,而不是大声喊叫。#3 楼
思科提供RA-guard作为一种手段,以防止非特权端口发送恶意RA。最好的保护措施是丢弃碎片化的ICMPv6数据包,因为通常来说,合法地需要碎片化ICMPv6数据报的几率(除了非常大的ping以外)都是苗条的。