Cisco Cisco SG500-52PP 52-port Gigabit Max PoE+ Stackable Managed Switch 用户指南
安全:IPv6 第一步跳安全性
第一步跳安全性概述
389
思科 200、 300 和 500 系列管理型交换机管理指南 (内部版本)
23
•
ND
检测
•
邻近绑定完整性
•
DHCPv6
防护
这些组件可在 VLAN 上启用或禁用。
每个功能有两个预定义的空策略,名称为:vlan_default 和 port_default。第一个连接
到未与用户定义策略连接的各 VLAN,第二个连接到未与用户定义策略连接的各接口
和 VLAN。这些策略无法由用户显式连接。请参阅
到未与用户定义策略连接的各 VLAN,第二个连接到未与用户定义策略连接的各接口
和 VLAN。这些策略无法由用户显式连接。请参阅
IPv6
第一步跳安全性管道功能
如果 IPv6 第一步跳安全性已在 VLAN 上启用,则交换机会 Trap 以下消息:
•
路由器通告 (RA) 消息
•
路由器请求 (RS) 消息
•
邻居通告 (NA) 消息
•
邻居请求 (NS) 消息
•
ICMPv6
重定向消息
•
证书路径通告 (CPA) 消息
•
证书路径请求 (CPS) 消息
•
DHCPv6
消息
拦截的 RA、CPA 和 ICMPv6 重定向消息将传递到 RA 防护功能。RA 防护将验证这些
信息并丢弃非法消息,而合法消息将传递到 ND 检测功能。
信息并丢弃非法消息,而合法消息将传递到 ND 检测功能。
ND
检测将验证这些信息并丢弃非法消息,而合法消息将传递到 IPv6 源防护功能。
拦截的 DHCPv6 消息将传递到 DHCPv6 防护功能。DHCPv6 防护将验证这些信息并
丢弃非法消息,而合法消息将传递到 IPv6 源防护功能。
丢弃非法消息,而合法消息将传递到 IPv6 源防护功能。
拦截的数据消息将传递到 IPv6 源防护功能。IPv6 源防护将使用邻近绑定表验证接收
的消息(拦截的数据消息、来自 ND 检测的 NDP 消息以及来自 DHCPv6 防护的
DHCPv6
的消息(拦截的数据消息、来自 ND 检测的 NDP 消息以及来自 DHCPv6 防护的
DHCPv6
消息),丢弃非法消息,并将合法消息传递到转发。
邻近绑定完整性从接收的消息(NDP 和 DHCPv6 消息)中学习邻居,并将其存储在
邻近绑定表中。此外,可以手动添加静态条目。学习地址后,NBI 功能可传递框架以
供转发。
邻近绑定表中。此外,可以手动添加静态条目。学习地址后,NBI 功能可传递框架以
供转发。
拦截的 RS、CPS NS 和 NA 消息也会传递到 ND 检测功能。ND 检测将验证这些信息
并丢弃非法消息,然后将合法消息将传递到 IPv6 源防护功能。
并丢弃非法消息,然后将合法消息将传递到 IPv6 源防护功能。