IPv6安全RA技术与功能简介

网络
IPv6安全RA技术是为了避免恶意RA报文攻击网络造成网络瘫痪的一种技术,本文对其进行了简单的介绍。

在IPv6网络中,一般的网络拓补结构是由IPv6路由交换机、二层交换机、IPv6主机构成。通常路由器公告RA,包括IPv6前缀、链路MTU等信息,IPv6主机收到RA后,生成IPv6地址,并将默认路由指向发送RA的路由器,从而可以进行IPv6网络通信。如果恶意的IPv6主机发送RA,使正常的IPv6用户将默认路由指向恶意的IPv6主机用户,那么就可截获别的用户信息,影响网络安全。正常的用户获得另外的地址,使自己无法链接网络(图1所示)。同样也存在一些恶意的攻击用户发送大量的RA报文来攻击网络容易造成网络瘫痪(图2所示)。所以我们要使用IPv6安全RA技术,在交换机的端口通过命令配置拒绝接收恶意的RA报文,这样在一定程度上防止恶意RA的转发,可以避免影响网络的正常工作。

IPv6网关欺骗示意图

IPv6网关欺骗示意图

RA报文泛滥示意图

RA报文泛滥示意图

目前交换机对于RA的处理是硬件转发的同时COPY到CPU。如果需要实现IPv6安全RA技术,必须有比这个优先级更高的规则,不转发RA报文同时送CPU处理。根据用户配置的安全RA信任和非信任端口进行处理。如果是信任端口,收到的RA报文进行正常的转发,如果是非信任端口,直接丢弃处理。这样用户根据需要决定是否接收RA报文,这样在一定程度上防止恶意RA的攻击,保证网络的正常工作。

IPv6安全RA功能实现方法在配置上非常简单,用户只需要在全局模式启动IPv6安全RA功能后,然后再根据需要在某个端口上使能安全RA即可,例如在全局配置模式上输入命令“ipv6 security-ra enable”。然后在某个端口上(如Ehernet1/2)使能该功能时,交换机软件系统将会进行如下步骤的操作:

1)所有的RA报文只送CPU处理,硬件不转发。

2)遍历非信任端口列表,如果是从这些端口收到的RA报文,则直接丢弃处理。

3)如果是合法信任端口收到的RA报文,则在本VLAN中转发。

责任编辑:段燃 来源: DCN
相关推荐

2010-05-26 14:33:10

IPv6黑洞路由

2010-05-26 12:56:24

2010-05-27 10:45:26

IPv6过渡技术

2010-05-25 14:55:47

IPv6与RFID结合

2010-05-26 15:17:24

IPv6组播源

2018-08-08 15:23:10

IPv4IPv6网络

2010-05-26 13:52:06

Mobile IPv6

2018-10-09 09:58:54

IPv6技术障碍

2019-01-04 11:27:26

IPv6双协议栈组播

2019-04-03 10:28:04

2018-12-13 17:56:31

2013-01-23 14:23:36

IPv6 技术

2010-05-26 16:07:00

IPv6 ISATAP

2018-11-06 05:14:19

IPv6IPv4网络

2018-02-09 07:22:07

2010-05-27 14:39:32

2010-10-08 11:04:03

2011-10-24 15:01:22

IPv6网络安全

2011-03-02 09:59:38

2010-06-07 15:14:40

移动IPv6技术
点赞
收藏

51CTO技术栈公众号