我自己承擔了創建整個網路的責任,其中一部分是我的兩個(冗餘路由器)及其網關(超出我的範圍)之間的連接。
我的路由器後面有幾個 LAN,它們也有 IPv6 位址。 2 個路由器中的每一個都有一個 WAN 連接,這是它們的上行鏈路,並連接到第三個路由器,這超出了我的範圍。這個 WAN 網路使用 CARP 設定為冗餘,因此該網路有 4 個位址:
1 for the CARP 2 for physical addresses of the 2 routers 1 for the uplink
我為此目的委託了一個 /64 前綴 IPv6 網路(假設為 2001:db8:0:0::/64)。
我最近參加了很多 IPv6 安全課程,我自己也閱讀了很多內容,發現這裡需要考慮兩個主要事項。
- 直接連接通常應使用 /127 網路 (RFC6164)
- 地址應盡可能隨機,以使網路掃描複雜化。 (RFC7721)
現在我想為 /64 網路的 4 個介面分配位址。所以我在這裡看到兩條路。一種是建立一個/126 子網,該子網路只有4 個可用位址,並將它們指派給4 個介面(2001:db8:0:0:11:22:33:4; 2001:db8:0: 0:11:22 :33:5;2001:db8:0:0:11:22:33:6;2001:db8:0:0:11:22:33:7)。另一個是從整個 /64 子網路分配 4 個介面隨機位址(2001:db8:0:0:e2f:a9:7:3d6e;另外 3 個隨機位址)。
第一種方法有助於緩解欺騙問題,第二種方法有助於緩解掃描問題。
在這種配置中分配地址的更建議方法是什麼?值得注意的是,這些位址是全球單播位址