Пакет функций First Hop Security включает в себя анализатор DHCPv6-пакетов, IPv6 Source Guard, ND Inspection и RA Guard. Данный набор функций предназначен для обеспечения контроля и фильтрации IPv6 трафика в сети.
- Анализатор DHCPv6 пакетов позволяет добавлять соседей в таблицу привязок IPv6 binding table при получении адреса по DHCP, а также позволяет бороться с недоверенными DHCPv6 серверами.
- IPv6 Source Guard позволяет устройству отклонять трафик, если он исходит от адреса, который не сохранен в IPv6 binding table. Таблица привязок соседей IPv6 binding table, подключенных к устройству, создается из таких источников информации, как отслеживание по протоколу обнаружения соседей (NDP).
- С помощью функции ND Inspection коммутатор проверяет сообщения NS (Neighbor Solicitation) и NA (Neighbor Advertisement) и сохраняет их в IPv6 binding table. На основании таблицы коммутатор отбрасывает любые поддельные сообщения NS / NA.
- Функционал RA Guard позволяет блокировать или отклонять нежелательные или посторонние со-общения Router Advertisement (RA), поступающие на коммутатор от маршрутизатора.
- DHCPv6 Snooping, LDRA
Создаем политику, указываем в ней роль, которая будет назначена uplink-интерфейсу в сторону DHCPv6-сервера
console(config)# ipv6 dhcp guard policy DHCP_RELAY_TRUST
console(config-dhcp-guard)# device-role server
Настраиваем на клиентском порту добавление опций
console(config)# interface gigabitethernet1/0/1
console(config-if)# ipv6 dhcp relay information option format-type interface-id Gi12
console(config-if)# ipv6 dhcp relay information option format-type remote-id MES2324
На порт в сторону сервера привязываем созданную политику, делая его trust портом
console(config)# interface gigabitethernet1/0/2
console(config-if)# ipv6 dhcp guard attach-policy DHCP_RELAY_TRUST
На interface vlan включаем IPv6, включаем функционал IPv6 DHCP guard, включаем общий функционал FHS и LDRA
console(config)# interface vlan 1
console(config-if)# ipv6 enable
console(config-if)# ipv6 dhcp guard
console(config-if)# ipv6 first hop security
console(config-if)# ipv6 dhcp ldra
- IPv6 Source Guard
Создаем политику, где включаем добавление записей в таблицу привязки соседей на основании DHCPv6 Reply. При этом все Link-local IPv6-адреса вносятся в таблицу привязки соседей по умолчанию в результате анализа ICMPv6-пакетов.
А также включаем логирование сообщений добавления соседей в таблицу.
console(config)# ipv6 neighbor binding policy NeiBPol
console(config-nbr-binding)# logging binding enable
console(config-nbr-binding)# address-config dhcp
Создаем политику, где определяем доверенный порт. Данная политика применяется на порт, на котором не должен отрабатывать функционал Source Guard и порт является доверенным.
console(config)# ipv6 source guard policy DHCPPol
console(config-nbr-srcgrd)# trusted-port
Включаем логирование отбрасываемых пакетов
console(config)# ipv6 first hop security logging packet drop
Привязываем созданную политику привязки соседей на клиентский порт
console(config)# interface gigabitethernet1/0/12
console(config-if)# ipv6 neighbor binding attach-policy NeiBPol
Привязываем созданную политику c указанием trust порта
console(config)# interface gigabitethernet1/0/24
console(config-if)# ipv6 source guard attach-policy DHCPPol
Включаем функционал FHS, IPv6 SG, IPv6 NB на VLANconsole(config)# interface vlan 1
console(config-if)# ipv6 first hop security
console(config-if)# ipv6 neighbor binding
console(config-if)# ipv6 source guard
- RA Guard
Создаем политику RAGuard, где указываем роль порта как router, разрешая все входящие RA в этот порт
console(config)# ipv6 nd raguard policy test2
console(config-ra-guard)# device-role router
Настраиваем опциональные поля, если требуется
console(config-ra-guard)# hop-limit minimum 2 maximum 65
( мониторинг поля Cur Hop Limit, если выходит за пределы, то дропает)console(config-ra-guard)# managed-config-flag off/on/disable
( включает проверку объявленного "Managed address configuration" флага в сообщении RA, on=1,off=0,disable=не проверяется) console(config-ra-guard)# match ra prefixes prefix-list test2
( включает проверку выдаваемого адреса, необходимо создать ipv6 prefix-list test seq 5 permit 2001::/64)console(config-ra-guard)# match ra address prefix-list test4
(включает проверку адреса, с которого приходит RA)console(config-ra-guard)# other-config-flag off/on/disable
( включает проверку объявленного "Other configuration" флага в сообщении RA, on=1,off=0,disable=не проверяется) console(config-ra-guard)# router-preference minimum low maximum high
( включает проверку Default Router Preference)
Включить логирование отбрасываемых пакетовconsole(config)#
ipv6 first hop security logging packet drop
Привязываем на порт в сторону маршрутизатора созданную политикуconsole(config)#
interface gigabitethernet1/0/2 console(config-if)#
ipv6 nd raguard attach-policy test2
Включаем на интерфейсе IPv6, FHS, ND RAGuardconsole(config)#
interface vlan 1console(config-if)#
ipv6 enable console(config-if)#
ipv6 nd raguardconsole(config-if)#
ipv6 first hop security