...
- Анализатор DHCPv6 пакетов позволяет добавлять соседей в таблицу привязок IPv6 binding table при получении адреса по DHCP, а также позволяет бороться с недоверенными DHCPv6 серверами.
- IPv6 Source Guard позволяет устройству отклонять трафик, если он исходит от адреса, который не сохранен в IPv6 binding table. Таблица привязок соседей IPv6 binding table, подключенных к устройству, создается из таких источников информации, как отслеживание по протоколу обнаружения соседей (NDP).
- С помощью функции ND Inspection коммутатор проверяет сообщения NS (Neighbor Solicitation) и NA (Neighbor Advertisement) и сохраняет их в IPv6 binding table. На основании таблицы коммутатор от-брасывает отбрасывает любые поддельные сообщения NS / NA.
- Функционал RA Guard позволяет блокировать или отклонять нежелательные или посторонние со-общения Router Advertisement (RA), поступающие на коммутатор от маршрутизатора.
...
Включаем функционал FHS, IPv6 SG, IPv6 NB на VLANconsole(config)# interface vlan 1console(config-if)# ipv6 first hop securityconsole(config-if)# ipv6 neighbor bindingconsole(config-if)# ipv6 source guard
- RA Guard
Создаем политику RAGuard, где указываем роль порта как router, разрешая все входящие RA в этот порт
console(config)# ipv6 nd raguard policy test2console(config-ra-guard)# device-role router
Настраиваем опциональные поля, если требуется
console(config-ra-guard)# hop-limit minimum 2 maximum 65 ( мониторинг поля Cur Hop Limit, если выходит за пределы, то дропает)console(config-ra-guard)# managed-config-flag off/on/disable ( включает проверку объявленного "Managed address configuration" флага в сообщении RA, on=1,off=0,disable=не проверяется) console(config-ra-guard)# match ra prefixes prefix-list test2 ( включает проверку выдаваемого адреса, необходимо создать ipv6 prefix-list test seq 5 permit 2001::/64)console(config-ra-guard)# match ra address prefix-list test4 (включает проверку адреса, с которого приходит RA)console(config-ra-guard)# other-config-flag off/on/disable ( включает проверку объявленного "Other configuration" флага в сообщении RA, on=1,off=0,disable=не проверяется) console(config-ra-guard)# router-preference minimum low maximum high ( включает проверку Default Router Preference)
Включить логирование отбрасываемых пакетовconsole(config)# ipv6 first hop security logging packet drop
Привязываем на порт в сторону маршрутизатора созданную политикуconsole(config)# interface gigabitethernet1/0/2 console(config-if)# ipv6 nd raguard attach-policy test2
Включаем на интерфейсе IPv6, FHS, ND RAGuardconsole(config)# interface vlan 1console(config-if)# ipv6 enable console(config-if)# ipv6 nd raguardconsole(config-if)# ipv6 first hop security