Это из руководства по конфигурации для IOS 15.2T. Функция называется RA guard. В основном вы создаете политику и определяете, ведет ли порт, к которому это будет применено, к хосту или маршрутизатору. Тогда вы можете быть более конкретным и сопоставлять лимиты прыжка, управляемый-config-flag и сопоставлять в ACL с диапазоном, откуда должны поступать доверенные источники. Вы также можете сделать порт надежным и не делать никаких дальнейших проверок.
В некотором смысле это очень похоже на отслеживание DHCP. Основные шаги:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Затем вы можете использовать эту команду для проверки:
show ipv6 nd raguard policy
Если ваши коммутаторы поддерживают эту функцию, то имеет смысл поймать RA как можно раньше. Я не думаю, что это параноик. То же самое можно сказать и о DHCP. Иногда это даже не злонамеренные пользователи, это просто случай, когда люди не знают лучше или подключают дрянные устройства к сети.