我承担了创建整个网络的任务,其中一部分是我的两个(冗余路由器)与它们的网关(超出我的范围)之间的连接。
我的路由器后面是几个 LAN,它们也具有 IPv6 地址。2 个路由器中每个都有一个 WAN 连接,这是它们的上行链路,并连接到第三个路由器,这超出了我的范围。此 WAN 网络使用 CARP 设置为冗余,因此该网络有 4 个地址:
1 for the CARP 2 for physical addresses of the 2 routers 1 for the uplink
我为此目的委托了一个 /64 前缀 IPv6 网络(假设为 2001:db8:0:0::/64)。
我最近参加了许多 IPv6 安全课程,自己也阅读了很多资料,发现了 2 个需要考虑的主要事项。
- 直接连接通常应使用 /127 网络 (RFC6164)
- 地址应尽可能随机,以增加网络扫描的复杂性。(RFC7721)
现在我想从 /64 网络为 4 个接口分配地址。因此,我看到这里有两条路径。一条是创建一个 /126 子网,该子网只有 4 个可用地址,并将它们分配给 4 个接口(2001:db8:0:0:11:22:33:4;2001:db8:0:0:11:22:33:5;2001:db8:0:0:11:22:33:6;2001:db8:0:0:11:22:33:7)。另一条是从整个 /64 子网为 4 个接口分配随机地址(2001:db8:0:0:e2f:a9:7:3d6e;其他 3 个随机地址)。
第一种方法有助于缓解欺骗问题,第二种方法有助于缓解扫描问题。
在这样的配置中,哪种分配地址的方式更明智?值得注意的是,这些地址是全局单播地址