Routerankündigungs-Guard; Filtern Empfangener Ra-, Cpa- Und Icmpv6-Umleitungsnachrichten; Validieren Von Ra-Nachrichten; Nachbarerkennungsprüfung - Cisco SG300-10 Administratorhandbuch

Sicherheit: IPv6-Sicherheit des ersten Hops
Routerankündigungs-Guard
Routerankündigungs-Guard
Der Routerankündigungs-Guard ist die erste FHS-Funktion, die weitergeleitete RA-Nachrichten verarbeitet.
RA Guard unterstützt die folgenden Szenarios:
•

Filtern empfangener RA-, CPA- und ICMPv6-Umleitungsnachrichten

• Validieren empfangener RA-Nachrichten
Filtern empfangener RA-, CPA- und ICMPv6-Umleitungsnachrichten
RA Guard verwirft RA- und CPA-Nachrichten, die auf Schnittstellen eingehen, die nicht die Rolle eines
Routers ausführen. Die Schnittstellenrolle wird auf der Seite „Sicherheit > IPv6-Sicherheit des ersten
Hops > RA Guard-Einstellungen" konfiguriert.

Validieren von RA-Nachrichten

RA Guard validiert RA-Nachrichten mithilfe von Filtern auf Basis der RA Guard-Richtlinie, die an die Schnittstelle
angefügt ist. Diese Richtlinien können auf der Seite „RA Guard-Einstellungen" konfiguriert werden.
Falls eine Nachricht die Prüfung nicht besteht, wird sie gelöscht. Falls die Konfiguration für die
Protokollierung des Paketlöschens auf der bekannten FHS-Komponente aktiviert ist, wird eine
Datenratenbegrenzungs-SYSLOG-Nachricht gesendet.
Nachbarerkennungsprüfung
Die Nachbarerkennungsprüfung unterstützt die folgenden Funktionen:
• Prüfung der empfangenen Nachrichten für das Nachbarerkennungsprotokoll.
• Ausgangsfilterung

Nachrichtenvalidierung

Die ND-Prüfung überprüft die Nachrichten des Nachbarerkennungsprotokolls auf Basis einer ND-
Prüfungsrichtlinie, die an die Schnittstelle angefügt ist. Diese Richtlinie kann auf der Seite „ND-
Prüfungseinstellungen" definiert werden.
Wenn eine Meldung die in der Richtlinie definierte Prüfung nicht besteht, wird sie gelöscht, und es wird eine
Datenratenbegrenzungs-SYSLOG-Nachricht versendet.
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
21
410