Networking

阻塞或限速 IPv6:什麼大小的前綴

  • July 21, 2017

鑑於阻止單個 IPv6 地址似乎毫無意義,因為最終使用者通常至少擁有 2**64 個地址,因此我們需要阻止標識“站點”的範圍。

在這種情況下,“站點”類似於家庭或小型辦公室使用者。RFC 6177 討論了將地址塊分配給小型站點:

… 為家庭站點提供單個 /64 可能很誘人,因為與今天的 IPv4 實踐相比,這已經是顯著更多的地址空間。

但是,這排除了即使家庭站點也會增長以支持多個子網的期望。因此,在預設情況下,強烈建議即使是家庭站點也被賦予多個子網空間。因此,本文件仍然建議為主站點提供比單個 /64 更多的站點,但也不建議為每個主站點指定 /48。

也就是說,我在網上的討論中看到/64和/56都是國內使用者常用的分配。

如果我阻止 /64,而攻擊者有 /56,那麼他們還有 255 個子網可以攻擊我。

相反,如果我阻止 /56,而事實證明 ISP 分配了 /64 的塊,我可能還排除了 255 個其他使用者。現在,如果您考慮隨機分佈,則通過隨機排除 255 個站點實際影響您的流量的可能性非常低。但是,根據定義,它不是隨機的。從這個意義上說,我可以屏蔽一個我的網站很受歡迎的小地理區域是可行的。

我使用了阻塞的例子,但實際上這是一個更普遍的問題,它延伸到速率限制、分析等。

簡而言之,辨識“站點”的最佳前綴大小是多少?有沒有這方面的指導方針?

最好的算法是開始阻塞不同的地址。然後,當多個地址被阻止在同一個 /64 中時,您會阻止整個 /64。對更大的聚合重複此操作。

前綴通常在半字節邊界上給出(4 的倍數,或一個十六進制數字)。您可能希望從 /64 擴展到 /60、/56、/52 和 /48。/48 通常是給予單個站點的最大前綴。

根據您的謹慎程度,您可以從 /64 直接跳到 /56 和 /48。

根據您所在的地區,您還可以使用地區網際網路註冊機構 (RIR) 的公共數據庫。在 RIPE 數據庫中,網際網路提供商記錄了他們為那裡的客戶提供的聚合大小。在這種情況下,您確切知道要使用什麼尺寸。

引用自:https://serverfault.com/questions/863501