Я взял на себя создание целой сети, частью которой является соединение между моими двумя (резервными маршрутизаторами) и их шлюзом (вне моей компетенции).
За моими маршрутизаторами находится пара локальных сетей, которые также имеют адреса IPv6. У каждого из двух маршрутизаторов есть подключение WAN, которое является их восходящим каналом и подключается к третьему маршрутизатору, который находится вне моей области. Эта сеть WAN настроена на резервирование с использованием CARP, поэтому в этой сети 4 адреса:
1 for the CARP 2 for physical addresses of the 2 routers 1 for the uplink
для этой цели я делегировал сеть IPv6 с префиксом /64 (скажем, 2001:db8:0:0::/64).
Недавно я посетил несколько курсов по безопасности IPv6, а также сам много читал и обнаружил два основных момента, на которые следует обратить внимание.
- Прямые соединения обычно должны использовать сети /127 (RFC6164)
- Адреса должны быть максимально случайными, чтобы усложнить сканирование сети. (RFC7721)
Теперь я хочу назначить адреса 4 интерфейсам из сети /64. Поэтому я вижу здесь два пути. Один из них — создать подсеть /126, в которой будет только 4 используемых адреса, и назначить их 4 интерфейсам (2001:db8:0:0:11:22:33:4; 2001:db8:0:0:11:22:33:5; 2001:db8:0:0:11:22:33:6; 2001:db8:0:0:11:22:33:7). Другой — назначить 4 интерфейсам случайные адреса из всей подсети /64 (2001:db8:0:0:e2f:a9:7:3d6e; 3 других случайных адреса).
Первый подход помогает решить проблемы с подменой, а второй — проблемы со сканированием.
Какой способ назначения адресов в такой конфигурации будет более целесообразным? Примечательно, что адреса являются глобальными адресами одноадресной рассылки