IPv6 RA Guard概述、通告报文RA(Router Advertisement)

IPv6 RA Guard概述、通告报文RA(Router Advertisement)

IPv6 ND(IPv6 Neighbor Discovery,IPv6邻居发现)协议使用五种类型的ICMPv6消息,实现下面五种功能:地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现及地址自动配置和重定向。ND协议使用的五种ICMPv6 消息如下:
1、邻居请求消息 NS(Neighbor Solicitation)
2、邻居通告消息 NA(Neighbor Advertisement)
3、路由器请求消息 RS(Router Solicitation)
4、路由器通告消息 RA(Router Advertisement)
5、重定向消息 RR(Redirect)

ND协议是IPv6的一个关键协议,它功能强大,但是因为其没有任何安全机制,所以容易被攻击者利用。其中的RA报文攻击,攻击者仿冒网关向其他用户发送路由器通告报文RA(Router Advertisement),会改写其他用户的ND表项或导致其它用户记录错误的IPv6配置参数,造成这些用户无法正常通信。
根据RA报文攻击的特点,IPv6 RA Guard功能采用以下两种方式在二层接入设备上阻止恶意的RA报文攻击:
以下两种配置方式互斥,同一个二层接口上只能配置其中一种。
方式一、为接收RA报文的接口配置接口角色,系统根据接口角色选择转发还是丢弃该RA报文:
(1)若接口角色为路由器,则直接转发RA报文;
(2)若接口角色为用户,则直接丢弃RA报文。
方式一、为接收RA报文的接口配置IPv6 RA Guard策略,按照策略内配置的匹配规则对RA报文进行过滤:
(1)若IPv6 RA Guard策略中未配置任何匹配规则,则应用该策略的接口直接转发RA报文;
(2)若IPv6 RA Guard策略中配置了匹配规则,则RA报文需成功匹配策略下所有规则后才会被转发;否则,该报文被丢弃。



IPv6(列表、list、全)ipv6list
http://www.zh-cjh.com/wenzhangguilei/1534.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » IPv6 RA Guard概述、通告报文RA(Router Advertisement)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!