Assumi para mim a criação de uma rede inteira, da qual uma parte é uma conexão entre meus dois (roteadores redundantes) e seu gateway (fora do meu escopo).
Atrás dos meus roteadores estão algumas LANs, que também possuem endereços IPv6. Cada um dos 2 roteadores possui uma conexão WAN, que é o uplink deles e se conecta ao terceiro roteador, o que está fora do meu escopo. Esta rede WAN está configurada para ser redundante usando CARP, portanto esta rede tem 4 endereços:
1 for the CARP 2 for physical addresses of the 2 routers 1 for the uplink
Deleguei uma rede IPv6 com prefixo /64 para esta finalidade (digamos 2001:db8:0:0::/64).
Recentemente participei de vários cursos de segurança IPv6 e também li muito e descobri duas coisas principais a serem consideradas aqui.
- Conexões diretas geralmente devem usar redes /127 (RFC6164)
- Os endereços devem ser tão aleatórios quanto possível, para complicar a varredura da rede. (RFC7721)
Agora quero atribuir endereços às 4 interfaces da rede/64. Portanto, há dois caminhos que vejo aqui. Uma é criar uma sub-rede /126, que tenha apenas 4 endereços utilizáveis e atribuí-los às 4 interfaces (2001:db8:0:0:11:22:33:4; 2001:db8:0:0:11:22 :33:5; 2001:db8:0:0:11:22:33:6; A outra seria atribuir endereços aleatórios às 4 interfaces de toda a sub-rede /64 (2001:db8:0:0:e2f:a9:7:3d6e; 3 outros endereços aleatórios).
A primeira abordagem ajuda a aliviar problemas de falsificação e a segunda - problemas de digitalização.
Qual seria a forma mais aconselhável de atribuir endereços em tal configuração? Vale ressaltar que os endereços são endereços unicast globais