indirizzamento ipv6 / 127 vs eui-64

La migliore pratica è quella di utilizzare un indirizzo manuale / 127 per l'indirizzamento punto a punto descritto qui RFC2373

per EUI-64 ERFC 2373 detta il processo di conversione, che prevede due passaggi. Il primo è convertire l'indirizzo MAC a 48 bit in un valore a 64 bit. Per fare ciò, suddividiamo l'indirizzo MAC nelle sue due metà a 24 bit: l'organizzatore univoco identificativo (OUI) e la parte specifica della NIC. Il valore esadecimale 0xFFFE a 16 bit viene quindi inserito tra queste due metà per formare un indirizzo a 64 bit.

Capisco perfettamente dove utilizzeresti l'assegnazione manuale dell'indirizzo / 127, ma non riesco davvero a vedere i vantaggi nell'uso dell'EUI-64. a meno che non mi manchi completamente lo scopo reale di questa funzione di indirizzo.

qualcuno può gentilmente far luce sui casi d'uso EUI-64 specificamente in una topologia WAN ISP, se possibile. o indicami il materiale di lettura per favore.

Questo è l'argomento di un ampio dibattito in corso da un po 'di tempo.

Quando si tratta di esso, usare un / 127 su un collegamento punto-punto non è davvero una terribile idea. RFC6164 illustra che in realtà potrebbe essere una buona idea usare un / 127 - identifica alcuni dei grandi problemi per passare a un / 127 su un collegamento P2P e parla dei passi che sono stati fatti per mitigare, se ce ne sono. La paura degli attacchi di ping-pong è stata mitigata nella versione più recente di ICMP e gli attacchi di esaurimento della cache dei vicini vengono effettivamente eliminati sui collegamenti P2P utilizzando un prefisso / 127.

EUI-64 è generalmente preferibile su sottoreti utente, poiché SLAAC generalmente si rompe se le sottoreti / 64 non vengono utilizzate. Sui collegamenti P2P in cui SLAAC non viene utilizzato, non è un grosso problema.

In conclusione, credo che il consenso generale sia che l'uso di un / 127 non è un grosso problema - in effetti potresti voler allocare un singolo / 64 per tutti i tuoi collegamenti P2P. La tua tabella di routing potrebbe avere un piccolo successo poiché tutti i prefissi P2P non saranno facili da riassumere, ma è improbabile che si tratti di un problema significativo. Tieni a mente la RFC che ho citato e assicurati di seguire le linee guida fornite.

L'uso di un / 127 è utile quando si configurano manualmente i collegamenti punto-punto. Di solito riservo un / 64 nel mio piano di indirizzamento (per chiarezza e coerenza con altre reti non / 127) e quindi configuro xxxx:xxxx:xxxx:xxxx::a/127da un lato e xxx:xxxx:xxxx:xxxx::b/127dall'altro lato del collegamento.

Gli indirizzi EUI-64 sono usati molto quando si configurano automaticamente le interfacce. Link-local (indirizzi fe80 :: / 10) li usano spesso, e se il sistema riceve un annuncio del router con le informazioni del prefisso, prenderà il prefisso / 64 come i primi 64 bit del suo indirizzo e l'EUI-64 come gli ultimi 64 bit dell'indirizzo, per formare un indirizzo IPv6 completo a 128 bit. Tutto senza la necessità di una configurazione manuale o di un server DHCP.

Usare un / 127 non è terribile, ma lasciarlo entrare nella tua spina dorsale come lo è un / 127.

La ragione di ciò è che, in sostanza, la maggior parte dei TCAM router moderni in genere può gestire solo fino a 64 bit di larghezza di indirizzo alla volta - questo significa che se ti trovi in ​​una situazione in cui tutti i percorsi sono / 64 o più brevi, possono verificarsi ricerche in un singolo ciclo. Qualcosa di più e deve eseguire un'altra operazione di ricerca. Anche su un TCAM che ha solo 32 o 48 bit di larghezza, andare oltre / 64 è ovviamente ancora significativo.

Quindi, la mia raccomandazione personale è di allocare un / 64 per ogni collegamento P2P anche se si utilizza solo un / 127 sul filo - in questo modo, quando si attiva il protocollo di routing, è possibile quindi aggregare il / 127 a un / 64.

Il mio preferito personale, tuttavia, è allocare una porzione ragionevole del tuo spazio IPv6 esclusivamente per facilitare i collegamenti P2P (nel mio caso, ho prenotato un / 48) - questo / 48 viene quindi bloccato su tutte le interfacce del bordo di rete all'ingresso come destinazione. In questo modo, sei libero di andare avanti e utilizzare un / 64 sui tuoi collegamenti P2P e avere ancora traceroute, errori ICMP et. al lavoro, ma non sei vulnerabile agli attacchi NDP dall'esterno.

Ovviamente non tutti si preoccuperanno di questo e se il costo aggiuntivo dell'uso di prefissi più lunghi è accettabile per te (o hai TCAM super-duper a 128 bit), puoi ovviamente ignorare tutto quanto sopra. Quanto vuoi che sia scalabile la tua rete?