IPv6 RA Guard
--IPv6 路由器通告保护
1.基本概念
IPv6 RA保护特性使得管理员可以拥塞或者拒绝到达的网络设备平台的不期望的或者恶意的路由器通告保护报文(The IPv6 RA Guard feature provides support for allowing the network administrator to block or reject unwanted or rogue RA guard messages that arrive at the network device platform.)
2.IPv6RA保护的限制
该特性不支持对在隧道中的IPv6流量进行保护
该特性仅仅支持TACM驱动的硬件平台
该特性配置在交换接口的入方向,不支持出方向
该特性支持主机模式和路由器模式
该特性不支持以太通道和以太通道成员接口
该特性不支持trunk接口的合并模式
该特性支持PVLAN
被IPv6 RA保护特性丢弃的报文可以被SPANNED(抓取)
不能和命令
3.IPv6全局策略
IPv6全局策略提供存储和接入策略数据库服务。IPv6 邻居发现检测和IPv6RA保护是IPv6全局策略特性。在邻居发现检测或者RA保护在全局配置的时候,策略属性被存储到软件策略数据库。策略被应用到接口时,软件测量数据库表象被更新到应用策略的接口上。
4.IPv6 RA保护
IPv6 RA保护特性使得管理员可以拥塞或者拒绝到达的网络设备平台的或者不期望的者恶意路由器通告保护报文
RA报文由路由器提供用于在链路上通告自身给终端设备提供前缀信息。RA保护特性分析这些RA报文,过滤那些未被授权设备发送的RA报文。
在主机模式下,RA报文和路由器重定向报文不被允许出现在端口上。RA保护特定对比在二层设备上收到的RA帧中的配置信息,一旦2层设备验证了RA帧和路由器重定向报文中的内容和配置符合,它转发RA到单播或者组播目的地。如果RA帧的内容不吻合,RA报文被丢弃
RA***:***者仿冒网关向其他用户发送路由器通告报文RA(Router Advertisement),会改写其他用户的ND表项或导致其它用户记录错误的IPv6配置参数,造成这些用户无法正常通信
ND Snooping信任接口:该类型接口用于连接可信任的IPv6节点,对于从该类型接口接收到的ND报文,设备正常转发,同时设备会根据接收到的RA报文建立前缀管理表。
ND Snooping非信任接口:该类型接口用于连接不可信任的IPv6节点,对于从该类型接口接收到的RA报文,设备认为是非法报文直接丢弃;对于收到的NA/NS/RS报文,如果该接口或接口所在的VLAN使能了ND报文合法性检查功能,设备会根据ND Snooping动态绑定表对NA/NS/RS报文进行绑定表匹配检查,当报文不符合绑定表关系时,则认为该报文是非法用户报文直接丢弃;对于收到的其他类型ND报文,设备正常转发
附:
防RA***
RA报文能够携带很多网络配置信息,包括默认路由器、网络前缀列表以及是否使用DHCPv6服务器进行有状态地址分配等网络配置的关键信息。如图1所示,***者通过发送伪造的RA报文,修改用户主机的网络配置,使合法用户无法进行正常通信。常见的RA报文***包括:
• 伪造不存在的前缀,修改合法用户主机的路由表。
• 伪造网关MAC地址,造成合法用户主机记录错误的网关地址映射关系;或者伪造RA报文中的Router Lifetime字段,造成合法用户主机的默认网关变为其他网关设备。
• 伪造DHCPv6服务器,同时伪造RA报文中的M标识位,造成合法用户主机使用DHCPv6服务器分配到的虚假地址。
Router Lifetime表示发送该RA报文的路由器使用该字段的值作为缺省路由器的生命周期。如果该字段为0,表示该路由器不能作为缺省路由器,但RA报文的其他信息仍然有效。
M表示管理地址配置标识(Managed address configuration),取值包括0和1。0表示无状态地址分配,客户端通过无状态协议(如ND)获得IPv6地址;1表示有状态地址分配,客户端通过有状态协议(如DHCPv6)获得IPv6地址。
图1 防RA***
IPv6 RA Guard-思科全新考题Q3考点_第1张图片
为了防止上述RA***,建议在接入设备Switch的interface 1和interface 3上部署ND Snooping功能,并将Switch与网关相连的接口interface 3配置为信任接口。这样Switch就会直接丢弃用户侧接口interface 1(默认为非信任接口)收到的RA报文,仅处理信任接口收到的RA报文,从而可以避免伪造的RA报文带来的各种危害。