Facebook rất thông minh với sơ đồ địa chỉ IPv6 của họ, nhưng điều đó khiến tôi suy nghĩ về ACL và có thể viết một Cisco IOS IPv6 ACL phù hợp không? Trong IPv4, bạn có thể khớp với một octet giữa, chẳng hạn như 10.xxx.10.xxx để đạt bất kỳ 'x' nào với 'không quan tâm'. Tôi không nghĩ rằng điều này là có thể có trong IPv6, ít nhất là kể từ iOS 15.1.
Trong trường hợp ví dụ của tôi, vì Facebook rất thông minh, nên bạn có thể dễ dàng kết hợp trên FACE: B00C nếu bạn có thể. Theo cách này, đơn giản hóa bởi vì không cần tra cứu khối nào được gán, tôi chỉ có thể khớp với phạm vi đó.
2A03: 2880: F000: [0000-FFFF]: KHUÔN: B00C :: / 96
Cách rõ ràng và thông thường là khớp trên 2A03: 2880: F000 :: / 48 nhưng thật không may, tôi không chắc chắn trong nháy mắt nếu FB có phạm vi lớn hơn (có thể là như vậy). Vì vậy, trong trường hợp cụ thể này, nếu tôi có thể chỉ khớp với phần FACE: B00C, tôi có thể khớp mọi thứ họ đang sử dụng, giả sử họ không chuyển sang FACE: B00D
Vì tôi không thể nhập mặt nạ ký tự đại diện trong IOS cho và ACL IPv6, tôi không nghĩ bạn có thể làm điều này, nhưng tôi tò mò nếu ai đó có cách giải quyết thú vị. Tôi nghĩ sẽ hữu ích khi biết điều này bởi vì tại một số điểm tôi có thể cần lọc một khối phụ chỉ vì DDoS hoặc lưu lượng truy cập mạnh trong khi không muốn chặn toàn bộ / 32 cho một số nhà cung cấp lớn.
Ngoài ra, điều này có thể cho phép chuyển hướng hoặc ưu tiên lưu lượng dựa trên chính sách. Nếu tôi nhận ra các quảng cáo nằm trong một khối khác, tôi có thể QoS chúng khác nhau, ví dụ, một tính năng hay cho băng thông thấp, các liên kết vệ tinh bị tắc nghẽn.
EDIT: Để làm rõ một chút. Có thể có trường hợp tôi cần chặn hoặc cho phép một số phạm vi nhất định trong một khối lớn như a / 32. Chúng có thể hơi liền kề và thay vì hàng trăm mục, một ký tự đại diện có thể khớp với các phần lớn của chúng. Điều này cũng có thể được sử dụng cho kỹ thuật giao thông theo cách tôi có thể định tuyến tất cả các khối 10.x.10.0 trong đó nếu x là số lẻ, nó sẽ đi một tuyến so với tuyến khác.
Một ví dụ khác là DDoS trong đó IP nguồn IPv6 đang bị giả mạo với một mẫu đánh vần tên nhóm của tin tặc. Điều này sẽ xảy ra ít nhất một lần, thật tuyệt khi có thể lọc trên đó.
Một ACL nhỏ gọn sạch hơn nhưng không phải lúc nào cũng dễ quản lý hơn. Những điều này có thể là ý tưởng / thực hành tốt hoặc xấu, không phải ở đây để tranh luận rằng, chỉ cần cố gắng để xử lý những công cụ tôi có so với những công cụ nào tôi có thể phải tạo ra.
...:face:b00c:0:1
cách tiếp cận của bạn sẽ không nhận được.