IPV6 адресация / 127 против EUI-64

Рекомендуется использовать ручной адрес / 127 для адресации точка-точка, описанный здесь RFC2373

для EUI-64 ERFC 2373 диктует процесс преобразования, который состоит из двух этапов. Первый - преобразовать 48-битный MAC-адрес в 64-битное значение. Для этого мы разбиваем MAC-адрес на две 24-битные половины: уникальный по организационной структуре (OUI) и специфическую для NIC часть. 16-битное шестнадцатеричное значение 0xFFFE затем вставляется между этими двумя половинами, чтобы сформировать 64-битный адрес.

Я прекрасно понимаю, где вы будете использовать / 127 ручное назначение адресов, но я действительно не вижу преимуществ в использовании EUI-64. если я полностью не пропущу фактическую цель этой функции адреса.

может кто-то любезно пролить свет на варианты использования EUI-64, в частности, в топологии ISP WAN, если это возможно. или, пожалуйста, укажите мне какой-нибудь материал для чтения.

Это предмет большой дискуссии, которая продолжается уже некоторое время.

Когда дело доходит до этого, использование / 127 для связи точка-точка не является действительно ужасной идеей. RFC6164 иллюстрирует, что на самом деле может быть хорошей идеей использовать / 127 - он определяет некоторые большие проблемы для перехода к / 127 по P2P-каналу и говорит о шагах, которые были предприняты для смягчения, если таковые имеются. Страх перед атаками пинг-понга был смягчен в самой последней версии ICMP, а атаки исчерпания соседнего кэша фактически устранены на каналах P2P с использованием префикса / 127.

EUI-64 обычно предпочтительнее в пользовательских подсетях, поскольку SLAAC обычно прерывается, если подсети / 64 не используются. На P2P-каналах, где SLAAC не используется, это не так уж важно.

В заключение, я считаю, что общее согласие заключается в том, что использование / 127 не имеет большого значения - на самом деле вы можете выделить один / 64 для всех ваших P2P-ссылок. Ваша таблица маршрутизации может иметь небольшой успех, поскольку все префиксы P2P будет нелегко обобщить, но вряд ли это будет серьезной проблемой. Просто помните о RFC, о котором я говорил, и следуйте приведенным в нем рекомендациям.

Использование / 127 удобно при ручной настройке двухточечных ссылок. Я обычно резервирую / 64 в своем плане адресации (для ясности и согласованности с другими сетями, не относящимися к / 127), а затем настраиваюсь xxxx:xxxx:xxxx:xxxx::a/127на одной стороне и xxx:xxxx:xxxx:xxxx::b/127на другой стороне ссылки.

Адреса EUI-64 часто используются при автоматической настройке интерфейсов. Локальные ссылки (адреса fe80 :: / 10) часто используют их, и если система получает объявление маршрутизатора с информацией префикса, она принимает префикс / 64 в качестве первых 64 бит своего адреса и EUI-64 в качестве последних 64 биты адреса, чтобы сформировать полный 128-битный адрес IPv6. Все без необходимости ручной настройки или DHCP-сервера.

Использование / 127 не страшно, но позволяя ему войти в ваш позвоночник, как / 127.

Причина этого заключается в том, что, по существу, большинство современных TCAM маршрутизаторов могут обрабатывать только до 64 бит ширины адреса за один раз - это означает, что если вы находитесь в ситуации, когда все маршруты / 64 или короче, поиск может произойти в одном цикле. Что-нибудь дольше, и он должен выполнить еще одну операцию поиска. Даже на TCAM, который имеет ширину 32 или 48 бит, выход за пределы / 64, очевидно, все еще значителен.

Итак, моя личная рекомендация - выделять / 64 для каждой P2P-линии, даже если вы используете только / 127 на проводе - таким образом, когда вы включаете свой протокол маршрутизации, вы можете затем агрегировать / 127 в / 64.

Мой личный фаворит, однако, состоит в том, чтобы выделять разумный кусок вашего пространства IPv6 исключительно для облегчения P2P-соединений (в моем случае я зарезервировал / 48) - этот / 48 затем блокируется на всех пограничных интерфейсах сети при входе в качестве пункта назначения. Таким образом, вы можете просто использовать / 64 на своих P2P-ссылках и при этом иметь трассировку, ошибки ICMP и т. Д. Я работаю, но вы не уязвимы для атак НДП извне.

Очевидно, что не все будут заботиться об этом, и если для вас приемлемы дополнительные затраты на использование более длинных префиксов (или у вас супер-128-битные TCAM), то вы, конечно, можете игнорировать все вышеперечисленное. Насколько масштабируемой должна быть ваша сеть?