在IPv6 网络中,一般的网络拓补结构是由路由器、二层交换机、IPv6 主机构成。通常 路由器公告RA,包括链路前缀、链路MTU等信息,IPv6主机收到RA后,生成链路地址, 并将默认路由指向发送RA的路由器,从而可以进行IPv6网络通信 。++如果恶意的IPv6主机发 送RA,使正常的IPv6用户将默认路由指向恶意的IPv6主机用户,那么就可截获别的用户信 息,影响网络安全++ 。同时正常的用户获得另外的地址,使自己无法链接网络。所以我们要实 现安全RA功能,在交换机的端口通过命令配置拒绝接收恶意的RA报文,这样在一定程度 上防止恶意RA的转发,可以避免影响网络的正常工作。
如果非法用户公告RA,正常的PC用户将收到RA,将默认路由指向恶意的 IPv6 主机用户,并改变自己的地址,自己将无法链接网络。我们要在交换机的1/0/2端口设 置安全RA,那么非法用户的RA报文将不会影响到正常的用户。
Switch#config
Switch(config)#ipv6 security-ra enable
全局模式启动和关闭IPv6安全RA
Switch(Config-If-Ethernet1/0/2)#ipv6 security-ra enable
端口模式启动和关闭IPv6安全RA。show security-ra interface