Me he encargado de la creación de una red completa, de la cual una parte es una conexión entre mis dos (enrutadores redundantes) y su puerta de enlace (fuera de mi alcance).
Detrás de mis enrutadores hay un par de LAN, que también tienen direcciones IPv6. Cada uno de los 2 enrutadores tiene una conexión WAN, que es su enlace ascendente y se conecta al tercer enrutador, que está fuera de mi alcance. Esta red WAN está configurada para ser redundante usando CARP, por lo que esta red tiene 4 direcciones:
1 for the CARP 2 for physical addresses of the 2 routers 1 for the uplink
He delegado una red IPv6 con prefijo /64 para este propósito (digamos 2001:db8:0:0::/64).
Recientemente asistí a varios cursos de seguridad de IPv6 y también leí mucho y encontré dos cosas principales a considerar aquí.
- Las conexiones directas generalmente deben utilizar redes /127 (RFC6164)
- Las direcciones deben ser lo más aleatorias posible para complicar el escaneo de la red. (RFC7721)
Ahora quiero asignar direcciones a las 4 interfaces de la red /64. Entonces veo dos caminos aquí. Una es crear una subred /126, que solo tiene 4 direcciones utilizables y asignarlas a las 4 interfaces (2001:db8:0:0:11:22:33:4; 2001:db8:0:0:11:22 :33:5; 2001:db8:0:0:11:22:33:6; 2001:db8:0:0:11:22:33:7). La otra sería asignar direcciones aleatorias a las 4 interfaces de toda la subred /64 (2001:db8:0:0:e2f:a9:7:3d6e; otras 3 direcciones aleatorias).
El primer enfoque ayuda a aliviar los problemas de suplantación de identidad y el segundo, los problemas de escaneo.
¿Cuál sería la forma más aconsejable de asignar direcciones en dicha configuración? Cabe destacar que las direcciones son direcciones de unidifusión global.