Я взял на себя создание всей сети, частью которой является соединение между моими двумя (резервными маршрутизаторами) и их шлюзом (вне моей компетенции).
За моими маршрутизаторами находится пара локальных сетей, которые также имеют адреса IPv6. Каждый из 2 маршрутизаторов имеет WAN-соединение, которое является их восходящим каналом и подключается к третьему маршрутизатору, что выходит за рамки моей компетенции. Эта сеть WAN настроена на резервирование с использованием CARP, поэтому она имеет 4 адреса:
1 for the CARP
2 for physical addresses of the 2 routers
1 for the uplink
Для этой цели я делегировал сеть IPv6 с префиксом / 64 (скажем, 2001: db8: 0: 0 :: / 64).
Я недавно посетил несколько курсов по безопасности IPv6, а также сам много читал и нашел здесь 2 основных момента, на которые стоит обратить внимание.
Теперь я хочу назначить адреса 4 интерфейсам из сети / 64. Итак, я вижу здесь два пути. Один из них - создать подсеть / 126, которая имеет только 4 используемых адреса, и назначить их 4 интерфейсам (2001: db8: 0: 0: 11: 22: 33: 4; 2001: db8: 0: 0: 11: 22 : 33: 5; 2001: db8: 0: 0: 11: 22: 33: 6; 2001: db8: 0: 0: 11: 22: 33: 7). Другой - назначение случайных адресов 4 интерфейсов из всей подсети / 64 (2001: db8: 0: 0: e2f: a9: 7: 3d6e; 3 других случайных адреса).
Первый подход помогает решить проблемы со спуфингом, а второй - проблемы со сканированием.
Какой способ назначения адресов в такой конфигурации был бы более рекомендуемым? Примечательно, что адреса являются глобальными одноадресными адресами.