不良/悪意のあるIPv6 RAアナウンスの軽減

シスコ環境（ISR-G2）では、誤ったRAアナウンスをどのように防止または軽減しますか？

シスコには「IPv6 RAガード」が搭載されているようですが、それはルータ上で実行され、正しいRAで「戦う」だけですか。ネットワークから偽のRAをフィルタリングするスイッチを使用するほうが理にかなっているのではないでしょうか。（または私は偽のRAについて過度に偏執的ですか？）

これは、IOS 15.2Tの設定ガイドからのものです。この機能はRAガードと呼ばれます。基本的には、ポリシーを作成し、これが適用されるポートがホストまたはルーターにつながるかどうかを定義します。次に、より具体的にして、ホップ制限、managed-config-flagを照合し、信頼できるソースの送信元の範囲とACLを照合できます。ポートを信頼できるものにして、それ以上のチェックを行わないようにすることもできます。

ある意味で、これはDHCPスヌーピングと非常に似ています。基本的な手順は次のとおりです。

ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT

次に、このコマンドを使用して確認します。

show ipv6 nd raguard policy

スイッチがこの機能をサポートしている場合、RAをできるだけ早くキャッ​​チすることは理にかなっています。私はそれが偏執狂的であるとは思わない。DHCPについても同じことが言えます。時にはそれは悪意のあるユーザーでさえありません、それは人々がよりよく知らないか、ネットワークにくだらないデバイスを接続していない場合の単なるケースです。

RFC 6105から：「RA-Guardは、IPv6エンドデバイス間のすべてのメッセージが制御されたL2ネットワーキングデバイスを通過する環境に適用されます。」つまり、あなたが言うべきことを実行します。スイッチポートの入口で不正なRAを除外します。それは、他の男よりも大声で叫ぶだけでなく、ブロックすることと受け入れることの原則に基づいて動作します。

シスコでは、不正なRAを送信する非特権ポートから保護する手段としてRAガードを提供しています。

ただし、ルータアドバタイズメントをフラグメントに分割してRAガードを無効にする攻撃ツールがいくつか存在するため（THCが思い浮かぶ）、これだけを有効にしても保護されるとは限りません。

ICMPv6データグラムを（非常に大きなpingを除いて）フラグメント化することを合法的に必要とする可能性は非常に低いため、これに対する最良の保護はフラグメント化されたICMPv6パケットをドロップすることです。