IPv6安全RA技术与功能简介

在IPv6网络中，一般的网络拓补结构是由IPv6路由交换机、二层交换机、IPv6主机构成。通常路由器公告RA，包括IPv6前缀、链路MTU等信息，IPv6主机收到RA后，生成IPv6地址，并将默认路由指向发送RA的路由器，从而可以进行IPv6网络通信。如果恶意的IPv6主机发送RA，使正常的IPv6用户将默认路由指向恶意的IPv6主机用户，那么就可截获别的用户信息，影响网络安全。正常的用户获得另外的地址，使自己无法链接网络(图1所示)。同样也存在一些恶意的攻击用户发送大量的RA报文来攻击网络容易造成网络瘫痪(图2所示)。所以我们要使用IPv6安全RA技术，在交换机的端口通过命令配置拒绝接收恶意的RA报文，这样在一定程度上防止恶意RA的转发，可以避免影响网络的正常工作。

IPv6网关欺骗示意图

RA报文泛滥示意图

目前交换机对于RA的处理是硬件转发的同时COPY到CPU。如果需要实现IPv6安全RA技术，必须有比这个优先级更高的规则，不转发RA报文同时送CPU处理。根据用户配置的安全RA信任和非信任端口进行处理。如果是信任端口，收到的RA报文进行正常的转发，如果是非信任端口，直接丢弃处理。这样用户根据需要决定是否接收RA报文，这样在一定程度上防止恶意RA的攻击，保证网络的正常工作。

IPv6安全RA功能实现方法在配置上非常简单，用户只需要在全局模式启动IPv6安全RA功能后，然后再根据需要在某个端口上使能安全RA即可，例如在全局配置模式上输入命令“ipv6 security-ra enable”。然后在某个端口上（如Ehernet1/2）使能该功能时，交换机软件系统将会进行如下步骤的操作：

1）所有的RA报文只送CPU处理，硬件不转发。

2）遍历非信任端口列表，如果是从这些端口收到的RA报文，则直接丢弃处理。

3）如果是合法信任端口收到的RA报文，则在本VLAN中转发。