在IPv6网络中,一般的网络拓补结构是由IPv6路由交换机、二层交换机、IPv6主机构成。通常路由器公告RA,包括IPv6前缀、链路MTU等信息,IPv6主机收到RA后,生成IPv6地址,并将默认路由指向发送RA的路由器,从而可以进行IPv6网络通信。如果恶意的IPv6主机发送RA,使正常的IPv6用户将默认路由指向恶意的IPv6主机用户,那么就可截获别的用户信息,影响网络安全。正常的用户获得另外的地址,使自己无法链接网络(图1所示)。同样也存在一些恶意的攻击用户发送大量的RA报文来攻击网络容易造成网络瘫痪(图2所示)。所以我们要使用IPv6安全RA技术,在交换机的端口通过命令配置拒绝接收恶意的RA报文,这样在一定程度上防止恶意RA的转发,可以避免影响网络的正常工作。
IPv6网关欺骗示意图
RA报文泛滥示意图
目前交换机对于RA的处理是硬件转发的同时COPY到CPU。如果需要实现IPv6安全RA技术,必须有比这个优先级更高的规则,不转发RA报文同时送CPU处理。根据用户配置的安全RA信任和非信任端口进行处理。如果是信任端口,收到的RA报文进行正常的转发,如果是非信任端口,直接丢弃处理。这样用户根据需要决定是否接收RA报文,这样在一定程度上防止恶意RA的攻击,保证网络的正常工作。
IPv6安全RA功能实现方法在配置上非常简单,用户只需要在全局模式启动IPv6安全RA功能后,然后再根据需要在某个端口上使能安全RA即可,例如在全局配置模式上输入命令“ipv6 security-ra enable”。然后在某个端口上(如Ehernet1/2)使能该功能时,交换机软件系统将会进行如下步骤的操作:
1)所有的RA报文只送CPU处理,硬件不转发。
2)遍历非信任端口列表,如果是从这些端口收到的RA报文,则直接丢弃处理。
3)如果是合法信任端口收到的RA报文,则在本VLAN中转发。