Lab IPv6 Router Advertisement Guard

Khoi Nguyen

Member

Newbie

Join Date: Oct 2019
Posts: 45

09-11-2019, 12:43 AM

I. Mô tả
Tính năng RA guard sẽ giúp lọc những Router Advertisement message đến từ nguồn không xác thực ( Rouge RA). Tính năng này cấu hình trên Switch ở một số ios nhất định ( không hỗ trợ lệnh trên 1 số dòng switch).

II. Cấu hình
Cấu hình căn bản cho router R1:

Code:

R1(config)#[B]ipv6 unicast-routing[/B]
R1(config)#[B]int e0/0[/B]
R1(config-if)#[B]no ip add[/B]
R1(config-if)#[B]ipv6 add FE80::1 link-local[/B]
R1(config-if)#[B]ipv6 add 2001::1/64[/B]

Cấu hình căn bản trên switch với việc tạo vlan 5 và gán port (kết nối với router) vào interface vlan 2.

Code:

SW1(config)#[B]vlan 5[/B]
SW1(config-vlan)#[B]name RA[/B]
SW1(config)#[B]int e0/0[/B]
SW1(config-if)#[B]switchport mode access[/B]
SW1(config-if)#[B]switchport access vlan 5[/B]

Tiến hành đặt địa chỉ ip link local cho int vlan 5 và cấu hình địa chỉ global ipv6 là autoconfig ( xem như một dạng dhcp client trong ipv6).

Code:

SW1(config)#i[B]nt vlan 5[/B]
SW1(config-if)#i[B]pv6 address FE80::2 link-local[/B]
SW1(config-if)#[B]ipv6 address autoconfig[/B]

Cấu hình tính năng Neighbor Binding theo vlan 5 và subnet 2001::/64

Code:

SW1(config)#[B]ipv6 neighbor binding vlan 5 2001::/64 int e0/0[/B]
SW1(config)#[B]ipv6 neighbor binding max-entries 200[/B]

Kiểm tra cấu hình Neighbor Binding.

Code:

SW1#[B]show ipv6 neighbor binding[/B]
Binding Table has 1 entries, 0 dynamic (limit 200)
Codes: L - Local, S - Static, ND - Neighbor Discovery, DH - DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access          
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned        
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned  


    IPv6 address                            Link-Layer addr Interface        vlan prlvl  age   state    Time left
S   2001::/64                               any             Et0/0             5  0100   24s  REACHABLE

Chúng ta bắt đầu cấu hình tính năng RA Guard.

Code:

SW1(config)#[B]ipv6 nd raguard policy RAGUARD[/B]
SW1(config-nd-raguard)#[B]device-role host[/B]
SW1(config-nd-raguard)#[B]exit[/B]
SW1(config)#i[B]nt e0/0[/B]
SW1(config-if)#[B]ipv6 na raguard attach-policy RAGUARD[/B]

Kiểm tra lại cấu hình RA Guard vừa thực hiện với lệnh show ipv6 raguard policy <Tên policy>.

Code:

SW1#[B]show ipv6 nd raguard policy RAGUARD[/B]
Policy RAGUARD configuration:
  device-role host
Policy RAGUARD is applied on the following targets:
Target               Type  Policy               Feature        Target range
Et0/0               [B] PORT  RAGUARD [/B]             [B]RA guard[/B]       vlan all

Thử lệnh xem thông tin ipv6 trên cổng vlan 5 với lệnh show ipv6 int vlan 5.

Code:

SW1#[B]show ipv6 int vlan 5[/B]
Vlan5 is [B]up[/B], line protocol is [B]up[/B]
  [B]IPv6 is enabled[/B], link-local address is FE80::2
 [B] No Virtual link-local address(es):[/B]
  [B]Stateless address autoconfig enabled[/B]
  No global unicast address is configured
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF00:2
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  [B]Hosts use stateless autoconfig for addresses[/B].

Các bạn có thể thấy rằng, trước khi chúng ta cấu hình tính năng RA Guard trên switch 1, thì cổng int vlan 5 sẽ có địa chỉ ip global nào đó – chẳng hạn 2001::2/64 với default router là ip global cổng e0/0 của R1. Nhưng sau khi bật tính năng RA Guard, các thông tin này sẽ bị chặn lại, thông điệp message Router Advertisement sẽ bị drop bỏ, do vậy cổng int vlan 5 chỉ nhận ip link-local như đã đặt, còn ip global xin từ R1 sẽ không nhận được.(optional: Các bạn có thể sử dụng câu lệnh trên thiết bị thật show ipv6 snooping counters int <name> để xem các gói bị drop bỏ ( lưu ý thiết bị ảo lệnh nào có thể không quan sát được gì)).

Last edited by Tín Phan; 25-12-2019, 07:42 PM.

Tags: None

Tín Phan

Jir0w

Elite

Join Date: Aug 2019
Posts: 722

09-01-2020, 11:56 AM

Bên dưới sẽ là video thực hiện bài Lab trên các bạn theo dõi video nhé!!!

--------------------------------------------------------
TRUNG TÂM TIN HỌC VNPRO
--------------------------------------------------------
🏢Địa chỉ: 149/1D Ung Văn Khiêm, Phường 25, Quận Bình Thạnh
📞Điện thoại: (028) 35124 257
🌐Website: www.vnpro.vn
💡Youtube: www.youtube.com/c/trungtamtinhocvnpro
✉️Email: vnpro@vnpro.org
--------------------------------------------------------
⛔️Các bạn hãy theo dõi Fanpage để có thể theo dõi những video cũng như live stream mới nhất từ VnPro nhé!!!!
💟Fanpage: www.facebook.com/VnPro
☑️Zalo: https://zalo.me/1005309060549762169
✅Twitter: www.twitter.com/VnVnPro
☑️LinkedIn: www.linkedin/in/VnPro

Last edited by Tín Phan; 10-02-2020, 07:23 PM.

Phan Trung Tín
Email: phantrungtin@vnpro.org
.

Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm, P.25, Q.Bình Thạnh, Tp.HCM
Tel: (028) 35124257 (028) 36222234
Fax: (028) 35124314

Home Page: http://www.vnpro.vn
Forum: http://www.vnpro.org
Twitter: https://twitter.com/VnVnpro
LinkedIn: https://www.linkedin.com/in/VnPro

- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Videos: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Facebook: http://facebook.com/VnPro
Zalo: https://zalo.me/1005309060549762169

Comment

Previous template Next

Announcement

Lab IPv6 Router Advertisement Guard

Lab IPv6 Router Advertisement Guard

Comment