IPv6 RA Guard

1：IPv6 RA***：RA報文能夠攜帶很多網絡配置信息，包括默認路由器、網絡前綴列表以及是否使用DHCPv6服務器進行有狀態地址分配等網絡配置的關鍵信息。如圖1所示，***者通過發送僞造的RA報文，修改用戶主機的網絡配置，使合法用戶無法進行正常通信。常見的RA報文***包括：
1）僞造不存在的前綴，修改合法用戶主機的路由表。
2）僞造網關MAC地址，造成合法用戶主機記錄錯誤的網關地址映射關係；或者僞造RA報文中的Router Lifetime字段，造成合法用戶主機的默認網關變爲其他網關設備。
3）僞造DHCPv6服務器，同時僞造RA報文中的M標識位，造成合法用戶主機使用DHCPv6服務器分配到的虛假地址。
Router Lifetime表示發送該RA報文的路由器使用該字段的值作爲缺省路由器的生命週期。如果該字段爲0，表示該路由器不能作爲缺省路由器，但RA報文的其他信息仍然有效。
M表示管理地址配置標識（Managed address configuration），取值包括0和1。0表示無狀態地址分配，客戶端通過無狀態協議（如ND）獲得IPv6地址；1表示有狀態地址分配，客戶端通過有狀態協議（如DHCPv6）獲得IPv6地址。
2：IPv6 RA保護特性使得管理員可以擁塞或者拒絕到達的網絡設備平臺的不期望的或者惡意的路由器通告保護報文（The IPv6 RA Guard feature provides support for allowing the network administrator to block or reject unwanted or rogue RA guard messages that arrive at the network device platform.），RA報文由路由器提供用於在鏈路上通告自身給終端設備提供前綴信息。RA保護特性分析這些RA報文，過濾那些未被授權設備發送的RA報文。該特性支持主機模式和路由器模式，在主機模式下，RA報文和路由器重定向報文不被允許出現在端口上。RA保護特定對比在二層設備上收到的RA幀中的配置信息，一旦2層設備驗證了RA幀和路由器重定向報文中的內容和配置符合，它轉發RA到單播或者組播目的地。如果RA幀的內容不吻合，RA報文被丟棄。