华为:配置IPv6 RA Guard示例

华为:配置IPv6 RA Guard示例
组网需求
如图1所示,在Switch上接口GE0/0/1、GE0/0/2和GE0/0/3分别连接PC、Device A和Device B。为防止RA报文攻击,在Switch的接口上配置IPv6 RA Guard功能:
接口GE0/0/1连接的是PC,该接口收到的RA报文可以直接丢弃;
接口GE0/0/2连接的Device A是路由器,该接口收到的RA报文可以直接转发;
接口GE0/0/3连接的Device B是未知设备,通过在该接口上配置IPv6 RA Guard策略,对收到的RA报文进行过滤。

图1 IPv6 RA Guard功能组网图

图片.png

配置过程
(1)配置接口GE0/0/1的接口角色为用户。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] nd raguard role host
[Switch-GigabitEthernet0/0/1] quit
(2)配置接口GE0/0/2的接口角色为路由器。
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] nd raguard role router
[Switch-GigabitEthernet0/0/2] quit
(3)配置接口GE0/0/3应用IPv6 RA Guard策略“p1”,仅允许转发IPv6前缀地址为fc00:1::/64、M标志位和O标志位都为1的RA报文。
[Switch] acl ipv6 2000
[Switch-acl6-basic-2000] rule 1 permit source fc00:1:: 64
[Switch-acl6-basic-2000] quit
[Switch] nd raguard policy p1
[Switch-nd-raguard-policy-p1] if-match prefix acl 2000
[Switch-nd-raguard-policy-p1] managed-address-flag on
[Switch-nd-raguard-policy-p1] other-config-flag on
[Switch-nd-raguard-policy-p1] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] nd raguard attach-policy p1  
[Switch-GigabitEthernet0/0/3] quit


查询和清除IPv6 RA Guard报文统计信息
背景信息
接口角色为用户(host)时或者接口应用IPv6 RA Guard策略后不满足匹配规则时会丢弃RA报文。设备支持基于接口查看丢弃的RA报文计数。
操作步骤
执行命令display nd raguard statistic [ interface interface-type interface-number ],查看接口丢弃RA报文的统计信息。
执行命令reset nd raguard statistic [ interface interface-type interface-number ],清除接口丢弃RA报文的统计信息。



IPv6(列表、list、全)ipv6list
http://www.zh-cjh.com/wenzhangguilei/1534.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为:配置IPv6 RA Guard示例

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!