在IPv6網(wǎng)絡(luò)中，一般的網(wǎng)絡(luò)拓補結(jié)構(gòu)是由IPv6路由交換機、二層交換機、IPv6主機構(gòu)成。通常路由器公告RA，包括IPv6前綴、鏈路MTU等信息，IPv6主機收到RA后，生成IPv6地址，并將默認路由指向發(fā)送RA的路由器，從而可以進行IPv6網(wǎng)絡(luò)通信。如果惡意的IPv6主機發(fā)送RA，使正常的IPv6用戶將默認路由指向惡意的IPv6主機用戶，那么就可截獲別的用戶信息，影響網(wǎng)絡(luò)安全。正常的用戶獲得另外的地址，使自己無法鏈接網(wǎng)絡(luò)(圖1所示)。同樣也存在一些惡意的攻擊用戶發(fā)送大量的RA報文來攻擊網(wǎng)絡(luò)容易造成網(wǎng)絡(luò)癱瘓(圖2所示)。所以我們要使用IPv6安全RA技術(shù)，在交換機的端口通過命令配置拒絕接收惡意的RA報文，這樣在一定程度上防止惡意RA的轉(zhuǎn)發(fā)，可以避免影響網(wǎng)絡(luò)的正常工作。

IPv6網(wǎng)關(guān)欺騙示意圖

RA報文泛濫示意圖

目前交換機對于RA的處理是硬件轉(zhuǎn)發(fā)的同時COPY到CPU。如果需要實現(xiàn)IPv6安全RA技術(shù)，必須有比這個優(yōu)先級更高的規(guī)則，不轉(zhuǎn)發(fā)RA報文同時送CPU處理。根據(jù)用戶配置的安全RA信任和非信任端口進行處理。如果是信任端口，收到的RA報文進行正常的轉(zhuǎn)發(fā)，如果是非信任端口，直接丟棄處理。這樣用戶根據(jù)需要決定是否接收RA報文，這樣在一定程度上防止惡意RA的攻擊，保證網(wǎng)絡(luò)的正常工作。

IPv6安全RA功能實現(xiàn)方法在配置上非常簡單，用戶只需要在全局模式啟動IPv6安全RA功能后，然后再根據(jù)需要在某個端口上使能安全RA即可，例如在全局配置模式上輸入命令“ipv6 security-ra enable”。然后在某個端口上（如Ehernet1/2）使能該功能時，交換機軟件系統(tǒng)將會進行如下步驟的操作：

1）所有的RA報文只送CPU處理，硬件不轉(zhuǎn)發(fā)。

2）遍歷非信任端口列表，如果是從這些端口收到的RA報文，則直接丟棄處理。

3）如果是合法信任端口收到的RA報文，則在本VLAN中轉(zhuǎn)發(fā)。