在IPv6网络中,一般的网络拓补结构是由 IPv6路由交换机、二层交换机、 IPv6主机构成。通
常路由器公告 RA包括IPv6前缀、链路 MTU等信息,IPv6主机收到RA后,生成IPv6地址,并 将默认路由指向发送
RA的路由器,从而可以进行IPv6网络通信。如果恶意的IPv6主机发送RA
IPv6主机用户,那么就可截获别的用户信息,
影响网
使正常的IPv6用户将默认路由指向恶意的 络安全。正常的用户获得另外的地址,
使自己无法链接网络(图1所示)。同样也存在一些恶意的
(图2所示)。所以我们要实现安全 RA
RA
攻击用户发送大量的 RA报文来攻击网络容易造成网络瘫痪 功能,在交换机的端口通过命令配置拒绝接收恶意的 的转发,可以避免影响网络的正常工作
RA报文,这样在一定程度上防止恶意
。
Z --------------- X
SX-i 1^-li PC2i l^'.- RA
抿5如A sih'j V b伪 ■IWJ^PCl iPtjRAZ^ i;PCl 忆几 fZl'Z
'J.JPC2
RA2
El/2
RA2
PCI
IPv6网关欺骗示意图
ill f 网 Ul!JPC2
t的PC
RA报文泛滥示意图
功能,必须有比这个优先级更高的规则,不转发 RA报文同时送 CPU处理。根据用户配置的安全
RA报文进行正常的转发,如果是非信 RA报文,这样在一定程度上防止恶意
RA信任和非信任端口进行处理。如果是信任端口,收到的 任端口,直接丢弃处理。这样用户根据需要决定是否接收 RA的攻击,保证网络的正常工作。
为了方便用户,神州数码网络
IPv6安全RA功能实现方法在配置上非常简单,用户只需要
RA即可,例如在
在全局模式启动IPv6安全RA功能后,然后再根据需要在某个端口上使能安全
全局配置模式上输入命令\”。然后在某个端口上(如 Ehernet1/2 ) 使能IPv6安全RA功能时,交换机软件系统将会进行如下步骤的操作:
1) 2) 3)
所有的RA报文只送CPU处理,硬件不转发。 遍历非信任端口列表,如果是从这些端口收到的 如果是合法信任端口收到的
RA报文,则直接丢弃处理。
RA报文,则在本 VLAN中转发。
丢弃从该端口收到的
RA2报文,避免了 RA
RA1报文。
如图3所示:ethernet1/2 端口就是不信任端口, 欺骗和RA报文泛滥的攻击。而
E1/1则是信任端口,则正常转发该端口收到的
图3 IPv6安全RA示意图
IPv6安全RA技术
