评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置设备丢弃携带指定扩展报头的IPv6报文
背景信息
IPv6报文中可能会包含以下扩展报头:
路由报头:IPv6报文中的路由报头能够被IPv6源节点用来强制IPv6报文经过特定的设备。
分段报头:IPv6报文的发送受到传送路径上各设备的接口MTU的限制,当报文长度超过接口MTU时就需要将报文分段发送。在IPv6中,分段发送使用的是分段报头。IPv6网络的中间节点不允许对数据报文进行分片,数据的分片由发送源节点来完成。
目的选项报头:目的选项报头携带了一些只有目的节点才会处理的信息。
利用IPv6报文的这些扩展报头,攻击者可以在网络上发起恶意攻击。例如,利用路由报头指定报文必须经过某个节点,利用分段报头在发送源节点将接口MTU设置得很小导致大量的数据分片,或者利用目的选项报头指定处理IPv6报文的目的设备。如果攻击者发送大量这类IPv6报文到设备,则设备会因忙于处理这些报文而降低转发性能。使能设备丢弃目的地为本机且携带指定扩展报头的IPv6报文的功能,可以避免网络中的恶意攻击,同时也可以避免设备的转发性能受到影响。
用户可以根据实际需求,配置设备丢弃携带以上扩展报头的IPv6报文。
