私はネットワーク全体の作成を自ら引き受けましたが、その一部は私の 2 台の (冗長ルーター) とそれらのゲートウェイ (私の範囲外) 間の接続です。
私のルーターの背後には、IPv6 アドレスを持つ LAN が 2 つあります。2 つのルーターのそれぞれに WAN 接続があり、これがアップリンクで、私の範囲外にある 3 番目のルーターに接続します。この WAN ネットワークは CARP を使用して冗長化するように設定されているため、このネットワークには 4 つのアドレスがあります。
1 for the CARP 2 for physical addresses of the 2 routers 1 for the uplink
この目的のために、/64 プレフィックスの IPv6 ネットワークを委任しました (2001:db8:0:0::/64 とします)。
私は最近、多数の IPv6 セキュリティ コースに参加し、また自分でもたくさん読んで、ここで考慮すべき 2 つの主な点を見つけました。
- 直接接続では、通常、/127 ネットワークを使用する必要があります (RFC6164)
- ネットワークのスキャンを複雑にするために、アドレスは可能な限りランダムにする必要があります。(RFC7721)
ここで、/64 ネットワークから 4 つのインターフェースにアドレスを割り当てます。ここでは 2 つの方法があります。1 つは、使用可能なアドレスが 4 つしかない /126 サブネットを作成し、それらを 4 つのインターフェース (2001:db8:0:0:11:22:33:4、2001:db8:0:0:11:22:33:5、2001:db8:0:0:11:22:33:6、2001:db8:0:0:11:22:33:7) に割り当てる方法です。もう 1 つは、/64 サブネット全体から 4 つのインターフェースにランダムなアドレスを割り当てる方法です (2001:db8:0:0:e2f:a9:7:3d6e、その他のランダム アドレス 3 つ)。
最初のアプローチはスプーフィングの問題を軽減するのに役立ち、2 番目のアプローチはスキャンの問題を軽減するのに役立ちます。
このような構成でアドレスを割り当てるには、どの方法がより推奨されるでしょうか? アドレスがグローバルユニキャストアドレスであることは注目に値します