10. IPv6 RA Security

10.1. Общие сведения об IPv6 RA Security

Обычно IPv6 сеть включает маршрутизаторы, коммутаторы 2 уровня и IPv6 хосты. Маршрутизаторы объявляют о своём статусе сообщениями RA (Router Advertisement), которое содержит информацию о сетевом префиксе, адресе шлюза, MTU и множестве других параметров. При получении RA сообщения IPv6 хост устанавливает маршрутизатор по умолчанию в качестве рассылающего RA сообщения для реализации сетевой связности IPv6. Если вредоносный IPv6 хост посылает RA сообщения с целью подмены легитимного RA маршрутизатора, злоумышленник может получить доступ к пользовательской информации и заблокировать доступ к сети для пользователей. Поэтому, с целью сохранения безопасности и сохранения нормальной работы сети необходимо проверять и отбрасывать подозрительные RA сообщения.

10.2. Конфигурация IPv6 RA Security

1. Включить функцию IPv6 RA Security глобально;
2. Включить функцию IPv6 RA Security на порту;
3. Отобразить информацию о настройке и информацию отладки.

1. Включить функцию IPv6 RA Security глобально:

2. Включить функцию IPv6 RA Security на порту:

3. Отобразить информацию о настройке и информацию отладки:

10.3. Пример конфигурации IPv6 RA Security

Рисунок 59.1 - IPv6 RA Security

Если злоумышленник на схеме посылает RA-сообщения, то при получении такого сообщения обычным пользователем маршрутизатор по-умолчанию подменяется вредоносным IPv6 хостом. Вследствие этого пользователь не получает доступ в сеть. Необходимо установить функцию RA Security на порту коммутатора Ethernet1/0/2, чтобы RA сообщения от злоумышленников не смогли влиять на обычных пользователей.

Конфигурация будет выглядеть следующим образом:

Switch#config
Switch(config)#ipv6 security-ra enable
Switch(Config-If-Ethernet1/0/2)# ipv6 security-ra enable