在IPv6網(wǎng)絡(luò)中，一般的網(wǎng)絡(luò)拓補(bǔ)結(jié)構(gòu)是由IPv6路由交換機(jī)、二層交換機(jī)、IPv6主機(jī)構(gòu)成。通常路由器公告RA，包括IPv6前綴、鏈路MTU等信息，IPv6主機(jī)收到RA后，生成IPv6地址，并將默認(rèn)路由指向發(fā)送RA的路由器，從而可以進(jìn)行IPv6網(wǎng)絡(luò)通信。如果惡意的IPv6主機(jī)發(fā)送RA，使正常的IPv6用戶將默認(rèn)路由指向惡意的IPv6主機(jī)用戶，那么就可截獲別的用戶信息，影響網(wǎng)絡(luò)安全。正常的用戶獲得另外的地址，使自己無法鏈接網(wǎng)絡(luò)(圖1所示)。同樣也存在一些惡意的攻擊用戶發(fā)送大量的RA報(bào)文來攻擊網(wǎng)絡(luò)容易造成網(wǎng)絡(luò)癱瘓(圖2所示)。所以我們要使用IPv6安全RA技術(shù)，在交換機(jī)的端口通過命令配置拒絕接收惡意的RA報(bào)文，這樣在一定程度上防止惡意RA的轉(zhuǎn)發(fā)，可以避免影響網(wǎng)絡(luò)的正常工作。

IPv6網(wǎng)關(guān)欺騙示意圖

RA報(bào)文泛濫示意圖

目前交換機(jī)對(duì)于RA的處理是硬件轉(zhuǎn)發(fā)的同時(shí)COPY到CPU。如果需要實(shí)現(xiàn)IPv6安全RA技術(shù)，必須有比這個(gè)優(yōu)先級(jí)更高的規(guī)則，不轉(zhuǎn)發(fā)RA報(bào)文同時(shí)送CPU處理。根據(jù)用戶配置的安全RA信任和非信任端口進(jìn)行處理。如果是信任端口，收到的RA報(bào)文進(jìn)行正常的轉(zhuǎn)發(fā)，如果是非信任端口，直接丟棄處理。這樣用戶根據(jù)需要決定是否接收RA報(bào)文，這樣在一定程度上防止惡意RA的攻擊，保證網(wǎng)絡(luò)的正常工作。

IPv6安全RA功能實(shí)現(xiàn)方法在配置上非常簡單，用戶只需要在全局模式啟動(dòng)IPv6安全RA功能后，然后再根據(jù)需要在某個(gè)端口上使能安全RA即可，例如在全局配置模式上輸入命令“ipv6 security-ra enable”。然后在某個(gè)端口上（如Ehernet1/2）使能該功能時(shí)，交換機(jī)軟件系統(tǒng)將會(huì)進(jìn)行如下步驟的操作：

1）所有的RA報(bào)文只送CPU處理，硬件不轉(zhuǎn)發(fā)。

2）遍歷非信任端口列表，如果是從這些端口收到的RA報(bào)文，則直接丟棄處理。

3）如果是合法信任端口收到的RA報(bào)文，則在本VLAN中轉(zhuǎn)發(fā)。