Сервисный маршрутизатор Ra что это такое

Обновлено: 21.11.2024

Коммутаторы маршрутизации, описанные в этом руководстве, поддерживают настройку и передачу RA IPv6 на основе RFC 4861, "Обнаружение соседей для IP версии 6 (IPv6)" и RFC 4862, "Автоконфигурация IPv6-адресов без сохранения состояния".

Адресы IPv6 RA в VLAN обеспечивают политику обнаружения соседей, которую системный администратор настроил для устройств, работающих в режиме хоста IPv6 с включенной автоматической настройкой адресов. RA также позволяют узлам в VLAN создавать список маршрутизаторов по умолчанию (доступных) в этой VLAN.

Общая операция RA

Коммутатор маршрутизации IPv6, настроенный как член данной VLAN, передает RA для использования хостами в VLAN. Он также передает незапланированные RA в ответ на запросы маршрутизатора, полученные от хостов IPv6 в VLAN. Значения, которые хост получает в RA, применяются к параметрам, которые еще не были настроены на хосте системным оператором. (Значения в RA также могут заменять настройки хоста, полученные из предыдущего RA.)

Если включена одноадресная маршрутизация IPv6, RA по умолчанию передаются в сетях VLAN, поддерживающих IPv6 и настроенных с локальным адресом канала IPv6, если только передача RA не была явно подавлена. Конфигурация RA включает:

[a] Операция по умолчанию исключает префиксы автоматически настроенных адресов без сохранения состояния.

Основы РА

Включение одноадресной маршрутизации IPv6 на коммутаторе маршрутизации инициирует передачу RA в активных сетях VLAN с поддержкой IPv6, если передача RA не была подавлена.

RA не маршрутизируются.

Ответ хоста на RA зависит от того, как хост реализует IPv6. Как правило, настройки в RA, полученные хостом, заменяют настройки, полученные от более раннего RA. Параметры, настроенные непосредственно на хосте оператором, могут иметь приоритет над значениями, полученными в RA для тех же параметров.

Когда хост получает «неопределенное» значение по умолчанию в RA, хост применяет либо свои собственные текущие настройки для этого значения, либо значения по умолчанию, указанные в RFC 4861 или других применимых RFC, в зависимости от того, как IPv6 реализован на хосте. .

Флаги M-bit и O-bit позволяют настроить RA либо для работы в качестве единственного источника адресации хоста и связанных с ним настроек, либо для указания хосту использовать сервер DHCPv6 для некоторых или всех таких настроек.

Настройка политики RA для IPv6

Существует ли роль сервера DHCPv6 в конфигурации хоста в данной VLAN и какие службы и политика хоста будут настроены?

Какую политику ND следует рекламировать?

Включает лимит переходов для трафика, генерируемого хостом, период маршрутизатора по умолчанию, время доступности соседа и время повторной передачи для запросов соседей.

Какие префиксы следует объявлять, а какие запрещать?

Префиксы, настроенные на интерфейсе VLAN коммутатора маршрутизации, будут включены в RA в этой VLAN, если это не запрещено специально.

Каковы должны быть максимальный и минимальный интервалы (в секундах) для передачи RA?

Есть ли какие-либо VLAN на коммутаторе маршрутизации, в которых следует подавлять RA?

Будет ли использоваться несколько устройств маршрутизации для отправки RA в VLAN?

Первый RA, полученный хостом, определяет маршрутизатор по умолчанию для этого хоста. Другие маршрутизаторы, включенные в последующие RA, полученные хостом, становятся резервными маршрутизаторами по умолчанию для этого хоста.

Какие различия допустимы в RA от разных устройств маршрутизации, если таковые имеются?

Настройка RA IPv6

Если на коммутаторе маршрутизации включена одноадресная маршрутизация IPv6, RA передаются во все сети VLAN с поддержкой IPv6, если явно не подавлено глобально или для каждой сети VLAN.

Следующие шаги представляют собой общий план действий по настройке коммутатора маршрутизации для работы RA не по умолчанию во всех сетях VLAN с поддержкой IPv6:

Включите маршрутизацию IPv6 в вашей сети.

Включить одноадресную маршрутизацию IPv6. (Это должно быть включено, чтобы разрешить настройку других протоколов маршрутизации).

(Эта команда включает передачу RA в любой VLAN, где RA специально не подавляются.)

Настройте желаемую операцию RA для каждой VLAN:

Используйте настройки M-bit и O-bit, чтобы указать источник для конфигурации хоста IPv6; см. страницу Контекст VLAN Конфигурация Neighbor Discovery (ND):

Получить конфигурацию от RA (по умолчанию).

Получить конфигурацию от DHCPv6.

Настройка O-бита (применяется только в том случае, если настройка M-бита оставлена ​​в состоянии по умолчанию):

Использовать источник RA для глобальных префиксов одноадресной рассылки (по умолчанию).

Не используйте RA для конфигурации без префикса.

Укажите любые префиксы, не настроенные на интерфейсе VLAN коммутатора маршрутизации, которые должны передаваться в RA на хосты IPv6 в VLAN.

Запретите любые префиксы, настроенные на интерфейсе VLAN коммутатора маршрутизации, которые не должны передаваться в RA на хосты IPv6 в VLAN. (По умолчанию: глобальные префиксы одноадресной рассылки, настроенные на интерфейсе VLAN коммутатора маршрутизации, включены в RA.)

Настроить максимальный и минимальный интервал для передачи RA в VLAN; см. стр. Настройка диапазона интервалов между передачами RA в VLAN.

ПРИМЕЧАНИЕ. Коммутатор маршрутизации также передает RA, когда получает запросы маршрутизатора от хоста. Автоконфигурация должна быть включена на хосте, прежде чем он будет генерировать запросы маршрутизатора в VLAN.

Настройте политику ND для использования хостами в VLAN:

Срок службы маршрутизатора по умолчанию (по умолчанию: 1800 секунд; см. стр. Настройка или изменение срока службы маршрутизатора по умолчанию)

Достижимая продолжительность времени для объявления подтвержденных соседей (по умолчанию: не указано (0); см. стр. Изменение доступной продолжительности времени для соседей)

Время повторной передачи для объявления запросов соседей (по умолчанию: не указано (0); см. стр. Настройка или изменение таймера повторной передачи обнаружения соседей)

Настройте подавление RA для каждой VLAN для любой VLAN, в которой вы не хотите, чтобы коммутатор маршрутизации передавал RA. (См. Просмотр конфигурации RA.)

Настройка RA на нескольких коммутаторах с общей VLAN

Несколько коммутаторов маршрутизации, передающих RA в одной сети VLAN, могут обеспечить избыточность. Как правило, хост определяет первый маршрутизатор, от которого он получает RA, как маршрутизатор по умолчанию. Хост использует любые RA, полученные позднее от других маршрутизаторов, для определения резервных маршрутизаторов по умолчанию.

Хотя объявленные префиксы могут быть разными, политика RA для каждой VLAN должна быть одинаковой для всех маршрутизаторов, передающих RA в данной VLAN. Сюда входят следующие параметры:

срок службы маршрутизатора по умолчанию

время доступности для соседей

время повторной передачи для запросов соседей

Команды контекста глобальной конфигурации

Включение или отключение генерации RA IPv6

Синтаксис:

[no] ipv6 и подавление-ра

Команда Global config для подавления передачи RA IPv6 во всех VLAN, настроенных на коммутаторе маршрутизации. Переопределяет RA, включенные для каждой VLAN.

Форма no команды глобально отключает подавление RA. Обратите внимание, что глобальное включение RA на коммутаторе маршрутизации не отменяет подавление RA для каждой VLAN (используя команду ipv6 nd ra подавлять в контексте VLAN). См. Подавление RA в VLAN.

По умолчанию: подавление RA отключено

Включение или отключение маршрутизации IPv6

Синтаксис:

[нет] одноадресной маршрутизации ipv6

Глобальная команда конфигурации для включения или отключения маршрутизации IPv6. Должен быть включен для операции маршрутизации. Включение маршрутизации IPv6 активирует генерацию RA в VLAN, если RA не подавляются глобально или для каждой VLAN.

Форма no команды отключает маршрутизацию IPv6 и RA на коммутаторе маршрутизации.

По умолчанию: Отключено

Конфигурация обнаружения соседей контекста VLAN (ND)

Настройка требований службы DHCPv6

Синтаксис:

[no] ipv6 nd ra manage-config-flag

Синтаксис:

[no] ipv6 nd ra other-config-flag

managed-config-flag : управляет настройкой M-бит в RA, которые маршрутизатор передает в текущей VLAN. Включение бита M заставляет клиентов получать свою адресацию IPv6 и информацию о конфигурации хоста ND для текущего интерфейса VLAN с сервера DHCPv6.

  • Если M-бит включен, принимающие хосты игнорируют параметр other-config-flag (O-bit), описанный ниже.

  • Когда M-бит отключен (по умолчанию), принимающие узлы ожидают получить свои настройки IPv6-адресации и конфигурации ND от RA, если O-бит не включен.

other-config-flag : игнорируется, если бит M (выше) не отключен в RA. Управляет битом O в RA, которые маршрутизатор передает в текущей сети VLAN.

Включение O-бита при отключенном M-бите заставляет хосты в VLAN получать свои настройки конфигурации ND с сервера DHCPv6 и свои глобальные префиксы одноадресной рассылки от RA.

Форма no любой из команд отключает настройку этой команды в RA.

ПРИМЕЧАНИЕ. В конфигурации по умолчанию бит M и бит O отключены, и хост, получающий RA, должен получить свой префикс и конфигурацию ND от самого RA, а не от сервера DHCPv6.

По умолчанию для обоих параметров: отключено

Настройка диапазона интервалов между передачами RA в VLAN

Интервал между передачами RA в сети VLAN — это случайное значение, которое изменяется при каждой отправке RA. Интервал рассчитывается как значение между текущими настройками максимального и минимального интервалов, описанными ниже.

Синтаксис:

[no] ipv6 nd ra max-interval

Синтаксис:

[no] ipv6 nd ra min-interval

Команды контекста VLAN для изменения максимального и минимального интервалов между передачами RA IPv6 в VLAN. Эти значения имеют одну настройку для каждой сети VLAN и не применяются к RA, отправляемым в ответ на запрос маршрутизатора, полученный от другого устройства.

max-interval : должен быть меньше или равен настроенному параметру срока действия. Попытка установить для max-interval значение, превышающее настроенный параметр времени жизни, приводит к появлению сообщения об ошибке.

Форма no команды max-interval возвращает настройку к значению по умолчанию, при условии, что значение по умолчанию меньше или равно 75 % нового максимального интервала, который вы устанавливаете.

Попытка установить max-interval на значение, которое недостаточно превышает текущий min-interval, также приводит к сообщению об ошибке.

По умолчанию: 600 секунд; Диапазон: 4–1800 секунд

min-interval : должен быть меньше или равен 75% от max-interval . Попытка установить более высокое значение min-interval приводит к появлению сообщения об ошибке.

Форма no команды min-interval возвращает параметр к значению по умолчанию, при условии, что значение по умолчанию меньше или равно 75% от текущего значения параметра max-interval.

По умолчанию : 200 секунд; Диапазон: 3–1350 секунд

Автоматическое назначение адресов для IPv6 работает немного иначе, чем для IPv4. Несмотря на это, большинство параметров DHCP похожи, но есть заметные различия в поведении в том, как вещи назначаются, а также в том, как такие элементы, как шлюз, передаются клиентам. Если не указано иное, параметры с одинаковыми именами работают одинаково для DHCP и DHCPv6. DHCPv6 и объявления маршрутизатора (RA) настраиваются в разделе Services > DHCPv6 Server/RA. На этой странице есть две вкладки: одна для сервера DHCPv6 и одна для объявлений маршрутизатора.

DHCPv6 и автоконфигурация адресов без сохранения состояния¶

Некоторые клиенты не поддерживают DHCPv6. Некоторые клиенты поддерживают только автоконфигурацию адресов без сохранения состояния или сокращенно SLAAC. У брандмауэра нет возможности напрямую узнать список хостов в сегменте с использованием адресов SLAAC, поэтому для некоторых сред это гораздо менее желательно из-за отсутствия контроля и отчетов об адресах. Учитывайте требования к отслеживанию адресов и поддержке операционной системы при принятии решения о выделении IPv6-адресов клиентам в сети.

Многие операционные системы, такие как Windows, OS X, FreeBSD, Linux и их аналоги, содержат клиенты DHCPv6, способные получать адреса, как и ожидалось, через DHCPv6. Некоторые упрощенные или мобильные операционные системы, такие как Android, не содержат клиента DHCPv6 и будут работать только в локальном сегменте с IPv6 с использованием SLAAC.

Объявления маршрутизатора (или: «Где вариант шлюза DHCPv6»)¶

В IPv6 маршрутизатор определяется с помощью сообщений Router Advertisement (RA), отправляемых маршрутизаторами, а не DHCP; Ожидается, что маршрутизаторы с поддержкой IPv6, поддерживающие динамическое назначение адресов, сообщат о себе в сети всем клиентам. Таким образом, DHCPv6 не содержит никакой информации о шлюзе. Таким образом, клиенты могут получать свои адреса от DHCPv6 или SLAAC, но если они не настроены статически, они всегда находят свой следующий переход с помощью пакетов RA, отправленных с доступных шлюзов.

Чтобы включить службу RA:

Перейдите к Службы > Сервер DHCPv6/RA

Перейдите на вкладку интерфейса для настраиваемого интерфейса

Перейдите на вкладку "Реклама маршрутизатора".

Выберите режим, отличный от Отключено, в раскрывающемся списке Режим маршрутизатора

Нажмите Сохранить

Другие параметры управления поведением RA могут быть установлены по мере необходимости для сети:

Режимы объявления маршрутизатора

Режимы для демона RA управляют службами, предлагаемыми pfSense®, объявляют брандмауэр в качестве маршрутизатора IPv6 в сети и указывают клиентам, как получить адреса.

Демон RA отключен и не запускается. Шлюзы IPv6 необходимо вводить вручную на любых клиентских хостах.

Этот брандмауэр будет отправлять пакеты RA, которые объявляют себя маршрутизатором IPv6. В этом режиме DHCPv6 отключен.

Брандмауэр будет отправлять пакеты RA, и клиентам будет предложено назначить себе IP-адреса в подсети интерфейса с помощью SLAAC. В этом режиме DHCPv6 отключен.

Брандмауэр будет отправлять пакеты RA, а адреса будут назначаться только клиентам, использующим DHCPv6.

Брандмауэр будет отправлять пакеты RA, а адреса могут назначаться клиентам с помощью DHCPv6 или SLAAC.

Брандмауэр будет отправлять пакеты RA, и SLAAC может назначать адреса клиентам, предоставляя при этом дополнительную информацию, такую ​​как DNS и NTP, от DHCPv6.

Если в одном сегменте сети существует несколько маршрутизаторов IPv6, они могут указывать клиентам, в каком порядке их следует использовать. Если маршрутизатор с высоким приоритетом становится недоступным, клиенты будут пытаться использовать маршрутизатор с обычным приоритетом и, наконец, маршрутизатор с низким приоритетом. Выберите из списка значение Низкое, Нормальное или Высокое. Если в сети только один маршрутизатор, используйте Обычный.

Срок действия по умолчанию

Время, указанное в секундах, в течение которого объявленный префикс будет действительным. Значение по умолчанию – 86 400 секунд (один день).

Предпочтительный срок службы по умолчанию

Время, указанное в секундах, в течение которого адреса клиентов, сгенерированные в этом префиксе с помощью SLAAC, действительны. Значение по умолчанию – 86 400 секунд (один день).

В этом разделе можно определить список подсетей, для которых этот брандмауэр будет отправлять пакеты RA. Введите столько подсетей, сколько необходимо, с соответствующим префиксом для каждой (обычно 64). Чтобы создать дополнительную строку для другой подсети, нажмите Добавить.

Получение информации DNS из сообщений RA не поддерживается повсеместно, но для клиентов, которые поддерживают ее, использование SLAAC для предоставления IP-адреса и DNS от RA может полностью отказаться от использования DHCPv6.

Введите до трех IP-адресов для DNS-серверов или оставьте поля пустыми, чтобы использовать системные DNS-серверы по умолчанию или DNS Resolver/DNS forwarder, если он включен.

Список поиска доменов

Работает так же, как одноименная опция DHCP.

Использовать те же настройки, что и у DHCPv6-сервера

Если флажок установлен, эти значения будут автоматически извлечены из параметров DHCPv6.

Когда двухпротокольный хост присоединяется к сети, он отправляет сообщение ICMPv6 (тип 133) Router Solicitation (RS), чтобы узнать о локальном маршрутизаторе с поддержкой IPv6 в сети. Локальный маршрутизатор настроен на ff02::2 (групповой адрес многоадресной рассылки маршрутизатора) и получит сообщение RS. В ответ на RS маршрутизатор немедленно отправляет сообщение ICMPv6 (тип 134) Routing Advertisement (RA) всем узлам в сети (ff02::1, групповой адрес многоадресной рассылки всех узлов). Маршрутизатор также периодически отправляет сообщения RA (обычно каждые 200 секунд), чтобы информировать узлы о любых изменениях адресной информации для локальной сети. Сообщение RA содержит важную информацию для узлов, а также метод, который они должны использовать для получения своего IPv6-адреса. RA содержит несколько установленных флагов, которые узлы отслеживают и используют.

  • A-бит — флаг автоконфигурации автономного адреса сообщает узлу, что он должен выполнять назначение адреса без сохранения состояния (SLAAC RFC 4862)
  • L-бит — флаг подключения сообщает узлу, что префикс, указанный в RA, является локальным адресом IPv6.
  • M-бит — флаг конфигурации управляемого адреса сообщает хосту, должен ли он использовать DHCPv6 с отслеживанием состояния (RFC 3315) для получения своего адреса и других параметров DHCPv6
  • O-bit — Other Config Flag сообщает хосту, что существует другая информация, которую может предоставить маршрутизатор (например, информация DNS, определенная в DHCPv6 без сохранения состояния (RFC 3736))

RA ICMPv6 предназначены для облегчения начальной настройки подключения узла IPv6 в сети. Они сообщают хостам в локальной сети, как им следует получить свой глобальный одноадресный IPv6-адрес и стать продуктивными членами сети. RA также предоставляет конечным узлам информацию о локальном маршрутизаторе и его способности быть шлюзом по умолчанию. Этот процесс подробно описан в разделе 4 документа IETF RFC 4861 «Обнаружение соседей для IP версии 6 (IPv6)».

К сожалению, существуют некоторые риски безопасности, связанные с сообщениями RA ICMPv6. В сетях, которые еще не используют IPv6, узлы с двумя стеками бездействуют, ожидая возможного сообщения RA, чтобы пробудить их подключение IPv6. Злоумышленник может создать сообщение «незаконный RA» в этих сетях, заставить двухпротокольные узлы в сети настроить свои IPv6-адреса и использовать систему злоумышленника в качестве шлюза по умолчанию. Затем злоумышленник может легко выполнить атаку «человек посередине» (MITM) без ведома пользователя, используя эту технику. Эта проблема задокументирована в документе RFC 6104 «Постановка проблемы объявления неавторизованного маршрутизатора IPv6». В сетях, в которых уже работает IPv6, мошеннические RA могут дестабилизировать сеть (и по-прежнему выполнять атаки MITM). Сообщения Rogue RA можно легко генерировать с помощью инструментов для атак IPv6 The Hacker’s Choice, Scapy, SI6 Networks IPv6 Toolkit, Nmap и Evil FOCA, а также других инструментов и методов.

Существуют методы обнаружения и блокировки этих мошеннических сообщений RA. Такие утилиты, как NDPMon, Ramond, 6MoN и другие, можно использовать для поиска подозрительных пакетов Neighbor Discovery Protocol (NDP) и обнаружения недопустимых сообщений RA. Эти инструменты работают так же, как старая программа ARPWATCH для обнаружения атак ARP в локальной сети IPv4.

Существует технология под названием "RA Guard", которая может быть реализована в коммутаторе Ethernet, чтобы разрешать законные RA от действительного маршрутизатора и блокировать вредоносные мошеннические сообщения RA. Этот метод задокументирован в IETF RFC 6105 «Защита рекламы маршрутизатора IPv6». Существует также очень новый RFC 7113 «Рекомендации по внедрению защиты рекламы маршрутизатора IPv6 (RA-Guard)». Хороший пример улучшенной защиты первого перехода (FHS) в IPv6 можно реализовать на коммутаторах Cisco.

К сожалению, существуют также методы, позволяющие избежать обнаружения мошеннических RA с помощью методов безопасности NDP.Поиск информации заголовка 4-го уровня ICMPv6 может быть затруднен из-за того, что система вынуждена полностью анализировать структуру заголовка IPv6. Злоумышленник может изменить расположение RA в пакете IPv6, используя заголовки расширения, чтобы избежать обнаружения, особенно если средства безопасности не анализируют все сообщение RA. Если конечный узел получает RA с пошаговым расширением заголовка или атомарным фрагментом, хост игнорирует заголовок, но по-прежнему обрабатывает RA в обычном режиме. Эта мошенническая атака RA называется «уклонение от защиты RA». Законные сообщения RA не должны включать фрагментацию или другие заголовки. Некоторые дополнительные рекомендации по этому поводу содержатся в документе RFC 6980 «Последствия для безопасности фрагментации IPv6 с обнаружением соседей IPv6».

Есть и другие полезные способы использования сообщений RA ICMPv6 в локальной сети. Другой метод получения информации DNS для узлов IPv6 заключается в использовании параметров в RA для отправки DNS-сервера и списка поиска домена. Узлы, которые получают RA, могут просто проанализировать эти параметры, получить эту информацию DNS и использовать ее со своими автоматически сгенерированными SLAAC адресами IPv6. IETF RFC 6106 «Параметры объявления маршрутизатора IPv6 для конфигурации DNS» определяет параметры рекурсивного DNS-сервера (RDNSS) и списка поиска DNS (DNSSL) в объявлении маршрутизатора (RA). Одна из проблем, связанных с RDNSS, заключается в том, чтобы обеспечить его поддержку в операционных системах хоста. Эта ссылка предоставляет некоторую информацию о том, какие ОС поддерживают эту опцию. Существует также демон RDNSS для Linux (rdnssd).

Даже если вы собираетесь использовать DHCPv6 вместо SLAAC в своей среде, вам все равно нужны сообщения RA для работы в локальной сети. Агенты RA предоставляют информацию о шлюзе по умолчанию конечному узлу и с помощью M-бита информируют узлы о том, что локальная сеть использует DHCPv6 с отслеживанием состояния. DHCPv6 в настоящее время не имеет возможности предоставлять эту информацию клиенту DHCPv6 так же, как это предоставляется DHCP для IPv4. Предоставление шлюза по умолчанию в качестве варианта DHCPv6 было предложено, но так и не было включено в стандарты.

DHCPv6 может быть желателен в частях доступа к настольным компьютерам корпоративной сети, а DHCPv6 абсолютно необходим в сетях абонентского доступа поставщика услуг. Однако организациям может не понадобиться DHCPv6 в среде центра обработки данных. Большинство организаций предпочитают статически настраивать параметры IPv6-адреса на определенных системах в сетевой среде. Конфигурация статического адреса может быть предпочтительнее для систем, которым требуется фиксированный неизменяемый адрес IPv6, или для узлов, которые не могут выполнять динамическое назначение адресов. Системы в сетях, которые, скорее всего, будут использовать этот метод статической адресации IPv6, — это серверы и системы в средах центров обработки данных. Эти серверы могут находиться во внутренних сетях, частных/гибридных облачных инфраструктурах или общедоступных интернет-сетях. Любой системе, адрес которой будет использоваться в той или иной форме политики брандмауэра или списка контроля доступа, потребуется статический адрес.

Для корректной работы в среде IPv6 серверы в среде центра обработки данных должны быть настроены со следующей информацией.

  • Статический IPv6-адрес для сетевого интерфейса.
  • Этот адрес будет выделен из системы IPAM и зарегистрирован в системе DNS с записью ресурса AAAA и соответствующей записью PTR.
  • Статический шлюз IPv6 по умолчанию
  • Это может быть либо глобальный одноадресный адрес маршрутизатора первого перехода, либо адрес Link-Local маршрутизатора первого перехода (например, FE80::1).
  • Статический DNS-сервер
  • Это кеширующий преобразователь DNS, который система будет использовать, когда ей потребуется выполнять DNS-запросы (например, настроить в файле /etc/resolv.conf)
  • Домен DNS
  • Это имя домена, которое система будет использовать в сочетании с именем хоста сервера для создания своего полного доменного имени (FQDN) (например, списка порядка поиска суффиксов домена)

Как правило, серверам назначается статический IPv6-адрес, но они по-прежнему будут использовать информацию, содержащуюся в сообщении ICMPv6 (тип 134) объявления маршрутизатора (RA), отправленном маршрутизатором первого перехода, для получения информации о шлюзе по умолчанию. Сообщения RA содержат локальный адрес канала и адрес уровня 2 (MAC) маршрутизатора первого перехода. Серверы могут прослушивать их и использовать эту информацию для автоматической настройки шлюза по умолчанию.

Если вы хотите отключить отправку сообщений RA на маршрутизаторе Cisco IOS, вы можете использовать следующие команды для достижения этой цели.

Важно понимать, насколько важно сообщение RA ICMPv6 для работы локальной сети с поддержкой IPv6. Угрозы безопасности существуют, но злоумышленник должен находиться в сети или скомпрометировать узел в сети, чтобы иметь возможность выполнять эти мошеннические атаки RA MITM. Большинство корпоративных организаций предпочли бы DHCPv6 для настольных локальных сетей, но в этих сетях по-прежнему необходимы RA.В центре обработки данных организация может захотеть статически назначить детали адреса хостам и не использовать сообщения RA. Несмотря на это, люди не должны бояться РА и научиться их принимать.

У вас слишком ранняя версия браузера. Некоторые функции сайта могут быть недоступны. Чтобы улучшить взаимодействие с пользователем, обновите браузер до последней версии.

Корпоративные продукты, решения и услуги

Поддерживающая документация

Это руководство по настройке ME60 V800R010C10SPC500 — IP-службы

Huawei использует машинный перевод в сочетании с корректурой, чтобы перевести этот документ на разные языки, чтобы помочь вам лучше понять его содержание. Примечание. Даже самый совершенный машинный перевод не может сравниться по качеству с профессиональными переводчиками. Компания Huawei не несет никакой ответственности за точность перевода, поэтому рекомендуется обратиться к документу на английском языке (ссылка на который предоставлена).

Настройка РА

Устройство периодически отправляет сообщения Router Advertisement (RA), которые содержат префиксы и флаговые биты, или отвечает на сообщения запроса маршрутизатора сообщениями RA.

Сценарий использования

Сообщения RA содержат параметры хостов по локальной ссылке.

Задачи предварительной настройки

Перед настройкой RA выполните следующие задачи:

Подключите интерфейсы и настройте физические параметры для интерфейсов, чтобы убедиться, что физический статус интерфейсов — Up.

Настройте параметры протокола канального уровня для интерфейсов, чтобы убедиться, что статус протокола канального уровня интерфейсов — Up.

Настройте адреса IPv6 для интерфейсов.

Процедуры настройки

Рис. 12-2 Блок-схема настройки RA


    После включения RA для устройства устройство может анонсировать сообщения RA, чтобы предоставить префиксы маршрута для хостов.
    Сообщение RA может содержать такие параметры, как максимальное количество переходов, префикс, время достижимости соседа и время жизни сообщения RA.
    Вы можете установить меньший интервал объявления сообщений RA, чтобы ускорить процесс RA.
  • (Необязательно) Настройка приоритета маршрутизатора по умолчанию и информации о маршруте
    Пакеты объявления маршрутизатора (RA), содержащие приоритет маршрутизатора по умолчанию и информацию о маршруте, могут передаваться по локальному каналу. Таким образом, можно выбрать подходящее ME-устройство для пересылки пакетов хоста.
    После настройки RA проверьте конфигурацию.

Включение RA

После включения RA для устройства устройство может объявлять сообщения RA для предоставления префиксов маршрутов для хостов.

Процедура

Отображается системный вид.

Отображается вид интерфейса.

Конфигурация принята.

Настройка параметров, передаваемых в сообщениях RA

Сообщение RA может содержать такие параметры, как максимальное количество переходов, префикс, время достижимости соседа и время жизни сообщения RA.

Процедура

Отображается системный вид.

Устанавливается максимальное количество переходов, через которые проходит сообщение RA.

Отображается вид интерфейса.

Устройство настроено так, чтобы не использовать префикс адреса по умолчанию, сгенерированный на основе IPv6-адреса интерфейса в сообщении RA.

Префикс в сообщении RA настроен.

Префикс адреса, настроенный с помощью команды ipv6 nd ra prefix, имеет более высокий приоритет, чем префикс адреса по умолчанию. Учитывая, что сообщение RA содержит не более 17 префиксов адресов, префикс адреса по умолчанию не будет передаваться в сообщении RA для объявления, если было настроено 17 префиксов адресов.

При выделении IPv6-адреса с помощью автоматической настройки без сохранения состояния укажите длину адресных префиксов как 64 бита. В противном случае адрес будет недействительным, а сообщения RA будут отброшены.

На устройстве настроен флаг, указывающий, должны ли хосты использовать автоматическую настройку с отслеживанием состояния для получения адресов в сообщении RA.

Устройство настроено на перенос флага, указывающего, должны ли хосты использовать автоматическую настройку с отслеживанием состояния для получения информации, отличной от адресов в сообщении RA.

Если флаг, указывающий, должны ли узлы использовать автосогласование с отслеживанием состояния для получения адресов, установлен в 1 в сообщении RA, флаг, указывающий, должны ли узлы использовать автоконфигурирование с отслеживанием состояния для получения информации, отличной от адресов, также должен быть установлен в 1.

Установлено время достижимости соседа.

Время жизни сообщения RA настроено.

Интервал объявления сообщения RA, настроенный с помощью команды ipv6 nd ra, должен быть меньше или равен времени существования сообщения RA.

Устройство настроено так, чтобы не передавать параметр MTU в сообщении RA.

Конфигурация принята.

(Необязательно) Настройка интервала объявления сообщения RA

Вы можете установить меньший интервал объявления сообщений RA, чтобы ускорить процесс RA.

Процедура

Отображается системный вид.

Отображается вид интерфейса.

Интервал объявления сообщения RA установлен.

Максимальный интервал должен быть больше 4/3 минимального интервала.

Конфигурация принята.

(Необязательно) Настройка приоритета маршрутизатора по умолчанию и информации о маршруте

Пакеты объявления маршрутизатора (RA), содержащие приоритет маршрутизатора по умолчанию и информацию о маршруте, могут передаваться по локальному каналу. Таким образом, можно выбрать подходящее ME-устройство для пересылки пакетов хоста.

Контекст

Если хост подключен к нескольким устройствам ME, хост должен выбрать устройство ME для пересылки пакетов на основе адресов назначения пакетов. ME-устройство может объявить хосту приоритет маршрутизатора по умолчанию и указанную информацию о маршруте, чтобы хост мог выбрать надлежащее пересылающее ME-устройство на основе адресов назначения пакетов.

После получения пакетов RA, содержащих информацию о маршруте, хост обновляет свою таблицу маршрутизации. При отправке пакетов на другое устройство хост запрашивает таблицу маршрутизации и выбирает правильный маршрут для отправки пакетов.

При получении пакетов RA с приоритетом маршрутизаторов по умолчанию хост обновляет свою таблицу маршрутизаторов по умолчанию. При отправке пакетов на другое устройство, если нет маршрута для выбора, хост запрашивает таблицу маршрутизаторов по умолчанию. Затем хост выбирает ME-устройство с наивысшим приоритетом на локальном канале для отправки пакетов. Если ME-устройство неисправно, хост выбирает другое ME-устройство в порядке убывания приоритета.

Процедура

Отображается системный вид.

Отображается вид интерфейса.

Приоритет маршрутизатора по умолчанию настраивается в пакетах RA.

Информация о маршруте настраивается в пакетах RA.

Проверка конфигурации RA

После настройки RA проверьте конфигурацию.

Предпосылки

Процедура

  1. Запустите дисплейный интерфейс ipv6 [ тип интерфейсаномер интерфейса | команда Brief ] для проверки конфигурации RA.

Пример

Выполните команду display ipv6 interface. Выходные данные команды показывают конфигурации RA на интерфейсе.

Читайте также: