खराब / दुर्भावनापूर्ण IPv6 RA घोषणाओं को कम करना

9

एक सिस्को वातावरण (ISR-G2) में, मैं गलत आरए घोषणाओं को कैसे रोकूं या कम करूं?

मुझे लगता है कि सिस्को के पास " आईपीवी 6 आरए गार्ड " है ... लेकिन क्या यह केवल राउटर पर चलता है और सही आरए के साथ "लड़ाई" है? यह नेटवर्क से बाहर bogus RAs फ़िल्टरिंग स्विच करने के लिए और अधिक समझ में नहीं आएगा? (या मैं फर्जी आरएएस के बारे में अत्यधिक पागल हो रहा हूं?)

cisco ipv6

— क्रेग कॉन्स्टेंटाइन
स्रोत

10

यह IOS 15.2T के लिए कॉन्फ़िगरेशन गाइड से है। फीचर को आरए गार्ड कहा जाता है। मूल रूप से आप एक पॉलिसी बनाते हैं और परिभाषित करते हैं कि यह पोर्ट होस्ट या राउटर की ओर जाता है या नहीं। फिर आप अधिक विशिष्ट हो सकते हैं और एक सीमा के साथ एसीएल पर हॉप सीमा, प्रबंधित-कॉन्फिग-फ्लैग और मैच पर भरोसा कर सकते हैं, जहां से विश्वसनीय स्रोत होने चाहिए। आप पोर्ट को विश्वसनीय भी बना सकते हैं और आगे की जांच नहीं कर सकते।

कुछ मायनों में यह डीएचसीपी स्नूपिंग के समान है। बुनियादी कदम हैं:

ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT

तब आप इस आदेश का उपयोग सत्यापित करने के लिए कर सकते हैं:

show ipv6 nd raguard policy

यदि आपके स्विच फीचर का समर्थन करते हैं तो यह आरएएस को जल्द से जल्द पकड़ने के लिए समझ में आता है। मुझे नहीं लगता कि यह पागल हो रहा है। डीएचसीपी के लिए भी यही कहा जा सकता है। कभी-कभी यह दुर्भावनापूर्ण उपयोगकर्ताओं के लिए भी नहीं होता है, यह सिर्फ लोगों को बेहतर तरीके से नहीं जानने या गंदे उपकरणों को नेटवर्क से जोड़ने का मामला है।

— डैनियल डिब
स्रोत

8

से आरएफसी 6105 : "RA-गार्ड, ऐसा माहौल IPv6 अंत उपकरणों के बीच सभी संदेशों को पार नियंत्रित एल 2 नेटवर्किंग उपकरणों के लिए लागू होता है।" यही है, यह वही करता है जो आप कहते हैं कि इसे करना चाहिए; स्विचपोर्ट इंप्रेस पर बदमाश आरए को फ़िल्टर करें। यह अवरुद्ध करने बनाम स्वीकार करने के सिद्धांत पर काम करता है, न कि दूसरे आदमी की तुलना में जोर से चिल्लाना।

— neirbowj
स्रोत

6

सिस्को आरए-गार्ड को दुष्ट आरएएस भेजने वाले अप्रभावी बंदरगाहों के खिलाफ सुरक्षा के साधन के रूप में प्रदान करता है।

हालाँकि, इसे सक्षम करने से आपको सुरक्षा की गारंटी नहीं मिलती क्योंकि अस्तित्व में कई हमले उपकरण (THC स्प्रिंग्स टू माइंड) हैं जो राउटर विज्ञापन को टुकड़ों में विभाजित कर देंगे, जिससे RA गार्ड को हराया जाएगा।

इसके खिलाफ सबसे अच्छा संरक्षण खंडित ICMPv6 पैकेट को छोड़ना है, आम तौर पर बोलना, ICMPv6 डेटाग्राम (एक बहुत बड़े पिंग से अलग) के लिए वैध रूप से आवश्यकता की संभावनाएं किसी से भी पतली नहीं हैं।

— Olipro
स्रोत