这是来自 IOS 15.2T 的配置指南。该功能称为 RA 防护。基本上，您创建一个策略并定义将应用到的端口是通向主机还是路由器。然后，您可以更具体地匹配跃点限制、托管配置标志，并在 ACL 上匹配可信来源应来自的范围。您还可以使端口受信任，而不进行任何进一步检查。

在某些方面，这与 DHCP 侦听非常相似。基本步骤是：

ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT

然后你可以使用这个命令来验证：

show ipv6 nd raguard policy

如果您的交换机支持该功能，那么尽早捕获 RA 是有意义的。我不认为这是偏执狂。DHCP 也是如此。有时甚至不是恶意用户，这只是人们不了解或将蹩脚设备连接到网络的情况。

来自RFC 6105：“RA-Guard 适用于 IPv6 终端设备之间的所有消息都经过受控 L2 网络设备的环境。” 也就是说，它做你说它应该做的事情；过滤掉交换机端口入口处的恶意 RA。它的运作原则是阻止与接受，而不仅仅是比另一个人大喊大叫。

Cisco 提供 RA-guard 作为防止非特权端口发送恶意 RA 的一种手段。

但是，单独启用此功能并不能保证保护您，因为存在多种攻击工具（想到 THC），它们会将路由器广告分成多个片段，从而击败 RA 防护。

对此的最佳保护是丢弃碎片化的 ICMPv6 数据包，因为一般来说，合法地需要对 ICMPv6 数据报进行碎片化（除了非常大的 ping）的可能性微乎其微。