나는 전체 네트워크의 생성을 맡았으며 그 중 일부는 내 두 라우터(중복 라우터)와 해당 게이트웨이(내 범위 밖) 사이의 연결입니다.
내 라우터 뒤에는 IPv6 주소도 있는 두 개의 LAN이 있습니다. 2개의 라우터 각각에는 업링크인 WAN 연결이 있으며 내 범위를 벗어난 세 번째 라우터에 연결됩니다. 이 WAN 네트워크는 CARP를 사용하여 중복되도록 설정되었으므로 이 네트워크에는 4개의 주소가 있습니다.
1 for the CARP 2 for physical addresses of the 2 routers 1 for the uplink
이 목적을 위해 /64 접두사 IPv6 네트워크를 위임했습니다(예: 2001:db8:0:0::/64).
저는 최근에 여러 IPv6 보안 강좌에 참석했고 스스로도 많은 내용을 읽었으며 여기서 고려해야 할 두 가지 주요 사항을 발견했습니다.
- 직접 연결은 일반적으로 /127 네트워크(RFC6164)를 사용해야 합니다.
- 네트워크 검색을 복잡하게 하려면 주소는 가능한 무작위여야 합니다. (RFC7721)
이제 /64 네트워크의 4개 인터페이스에 주소를 할당하고 싶습니다. 여기에는 두 가지 경로가 있습니다. 하나는 사용 가능한 주소가 4개만 있는 /126 서브넷을 생성하고 이를 4개의 인터페이스(2001:db8:0:0:11:22:33:4; 2001:db8:0:0:11:22)에 할당하는 것입니다. :33:5; 2001:db8:0:0:11:22:33:6; 2001:db8:0:0:11:22:33:7) 다른 하나는 전체 /64 서브넷에서 4개의 인터페이스에 임의 주소를 할당하는 것입니다(2001:db8:0:0:e2f:a9:7:3d6e; 기타 임의 주소 3개).
첫 번째 접근 방식은 스푸핑 문제를 완화하는 데 도움이 되고 두 번째 접근 방식은 스캐닝 문제를 완화하는 데 도움이 됩니다.
이러한 구성에서 주소를 할당하는 데 더 적합한 방법은 무엇입니까? 주소가 글로벌 유니캐스트 주소라는 점이 주목할 만합니다.