Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

ステートレス IPv6 ルーター アドバタイズ ガードの設定

ステートレス IPv6 ルーター アドバタイズメント(RA)ガードを使用すると、スイッチは着信 RA メッセージを調べ、事前定義された一連の基準に基づいてフィルタリングできます。スイッチは、RA メッセージの内容を検証すると、RA メッセージを宛先に転送します。それ以外の場合、RA メッセージはドロップされます。

IPv6 RA ガードを有効にする前に、インターフェイスで受信した RA メッセージの検証に使用する基準を持つポリシーを設定する必要があります。基準を満たすかどうかに基づいて、RA メッセージを受け入れるか破棄するかのポリシーを設定できます。基準は、RA メッセージに含まれる情報と比較されます。ポリシーの条件に送信元アドレスまたはアドレス プレフィックスが含まれている場合は、ポリシーを設定する前にアドレスのリストを設定する必要があります。

RA ガードの廃棄ポリシーの設定

破棄ポリシーを設定して、事前定義された送信元から RA メッセージをドロップできます。最初に送信元アドレスまたはアドレスプレフィックスのリストを設定し、ポリシーに関連付ける必要があります。次のリストは、破棄ポリシーに関連付けることができます。

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

手記:

破棄ポリシーには、複数の種類のリストを含めることができます。受信した RA メッセージに含まれる情報がリスト パラメータのいずれかと一致する場合、その RA メッセージは破棄されます。

RA ガードの廃棄ポリシーを設定するには、次の手順を実行します。

  1. RA ガードが着信 RA メッセージのフィルタリングに使用する、許可されない送信元アドレスまたはアドレス プレフィックスのリストを 1 つ以上定義します。設定で 1 行に 1 つのアドレスまたはアドレス プレフィックスを追加します。

    • IPv6 送信元アドレスのリストを定義するには:

    • IPv6アドレスプレフィックスのリストを定義するには:

    • MAC送信元アドレスのリストを定義するには:

  2. ポリシー名を構成します。
  3. 破棄アクションを指定します。
  4. ステップ 1 で定義したリストにポリシーを関連付けます。たとえば、リスト内の送信元 MAC アドレスと一致する RA メッセージを破棄するには、次のようにします。

RA ガードの受け入れポリシーの設定

特定の基準に基づいて RA メッセージを転送する受け入れポリシーを設定できます。送信元アドレスまたはアドレスプレフィックスの一致リストを基準として設定することも、ホップ制限、設定フラグ、ルータープリファレンスなどの他の一致条件を基準として設定することもできます。

次のリストは、 match-list オプションを使用して受け入れポリシーに関連付けることができます。

  • source-ip-address-list

  • source-mac-address-list

  • prefix-list-name

手記:

複数のタイプの一致リストを受け入れポリシーに関連付けることができます。 match-all サブオプションが設定されている場合、受信したRAメッセージが転送されるには、設定されているすべての一致リストに一致する必要があります。一致しない場合は破棄されます。 match-any オプションが設定されている場合、受信したRAメッセージが転送されるには、設定された一致リストのいずれかに一致する必要があります。設定されたリストのいずれにも一致しない場合、破棄されます。

match-option オプションを使用して、以下の一致条件を設定できます。

  • hop-limit- RA ガード ポリシーを設定して、着信 RA メッセージの最小ホップ数または最大ホップ数を確認します。

  • managed-config-flag- RA ガード ポリシーを設定して、着信 RA メッセージの管理対象アドレス設定フラグが設定されていることを確認します。

  • other-config-flag- RA ガード ポリシーを設定して、着信 RA メッセージの他の設定フラグが設定されていることを確認します。

  • router-preference-maximum- RA ガード ポリシーを設定して、着信 RA メッセージのデフォルト ルーター プリファレンス パラメータ値が、指定された制限値以下であることを確認します。

手記:

match-listオプションとmatch-optionオプションは、受け入れポリシーでのみ使用され、破棄ポリシーでは使用されません。

match-list オプションを使用して RA ガードの受け入れポリシーを設定するには、次の手順に従います。

  1. RA ガードが着信 RA メッセージのフィルタリングに使用する許可された送信元アドレスまたはアドレス プレフィックスのリストを 1 つ以上定義します。設定で 1 行に 1 つのアドレスまたはアドレス プレフィックスを追加します。

    • IPv6 送信元アドレスのリストを定義するには:

    • IPv6アドレスプレフィックスのリストを定義するには:

    • MAC送信元アドレスのリストを定義するには:

  2. ポリシー名を指定します。
  3. accept アクションを指定します。
  4. RA ガードがすべてのリストの基準を満たす必要があるか、 1 で設定されたいずれかのリストの基準を満たす必要があるかを指定します。

    • すべてのリストで一致させるには:

    • いずれかのリストに一致させるには:

  5. 受け入れポリシーを、ステップ 1 で設定したリストに関連づけます。例えば:

match-option オプションを使用して RA ガードの受け入れポリシーを設定するには、次の手順に従います。

  1. ポリシー名を指定します。

  2. accept アクションを指定します。

  3. match-optionオプションを使用して、照合条件を指定します。例えば、最大ホップ数での一致を指定するには、以下のようにします。

インターフェイスでのステートレス RA ガードの有効化

インターフェイスでステートレス RA ガードをイネーブルにできます。最初に、インターフェイス上の着信RAメッセージに適用されるポリシーを設定する必要があります。インターフェイスにポリシーを適用した後、対応するVLANでRAガードも有効にする必要があります。それ以外の場合、インターフェイスに適用されたポリシーは、受信した RA パケットに影響を与えません。

インターフェイスでステートレス RA ガードを有効にするには:

  1. インターフェイスにポリシーを適用します。
  2. インターフェイスで stateless オプションを設定します。
  3. 対応する VLAN でステートレス RA ガードを有効にします。

VLAN でのステートレス RA ガードの有効化

ステートレス RA ガードは、VLAN 単位またはすべての VLAN に対して有効にできます。最初に、学習状態の着信 RA メッセージを検証するために使用されるポリシーを設定する必要があります。

特定の VLAN でステートレス RA ガードを有効にするには:

  1. VLANにポリシーを適用します。
  2. VLAN で [ stateless ] オプションを設定します。

すべての VLAN でステートレス RA ガードを有効にするには、次の手順を実行します。

  1. すべての VLAN にポリシーを適用します。

    手記:

    コマンド set forwarding-options access-security router-advertisement-guard vlans vlan-name policy policy-nameを使用して特定のVLANに対してポリシーが設定されている場合、そのポリシーはすべてのVLANにグローバルに適用されるポリシーよりも優先されます。

  2. すべての VLAN で stateful オプションを設定します。

RA Guardによる検査をバイパスするためのインターフェイスの信頼済みまたはブロック済みとしての設定

インターフェイスを信頼またはブロックとして設定して、RA ガードによる RA メッセージの検査をバイパスできます。RAメッセージが信頼できるインターフェイスまたはブロックされたインターフェイスで受信された場合、設定されたポリシーに対する検証の対象にはなりません。信頼できるインターフェイスは、すべての RA メッセージを転送します。ブロックされたインターフェイスは、すべての RA メッセージを破棄します。

  • インターフェイスを信頼済みとして設定するには:
  • インターフェイスをブロックとして設定するには:

関連ドキュメント