Facebook sangat pintar dengan skema alamat IPv6 mereka, tetapi membuat saya berpikir tentang ACL dan apakah mungkin untuk menulis Cisco IOS IPv6 ACL yang cocok? Di IPv4 Anda bisa mencocokkan oktet tengah seperti 10.xxx.10.xxx untuk mencapai 'x' dengan 'tidak peduli'. Saya tidak berpikir ini mungkin di IPv6, setidaknya tidak pada iOS 15.1.
Dalam contoh saya, karena Facebook pintar, membuatnya mudah dicocokkan dengan FACE: B00C jika Anda bisa. Dengan cara ini menyederhanakan karena tanpa melihat blok apa yang ditugaskan, saya hanya dapat mencocokkan pada rentang itu.
2A03: 2880: F000: [0000-FFFF]: WAJAH: B00C :: / 96
Cara yang jelas dan normal adalah mencocokkan pada 2A03: 2880: F000 :: / 48 tapi sayangnya, saya tidak yakin sekilas jika FB memiliki rentang yang lebih besar (mungkin memang). Jadi dalam kasus khusus ini, jika saya dapat mencocokkan hanya pada bagian FACE: B00C, saya dapat mencocokkan semua yang mereka gunakan, dengan asumsi mereka tidak beralih ke FACE: B00D
Karena saya tidak bisa memasukkan topeng wildcard di iOS untuk dan IPv6 ACL, saya tidak berpikir Anda bisa melakukan ini, tapi saya ingin tahu apakah seseorang memiliki solusi yang menarik. Saya pikir akan berguna untuk mengetahui hal ini karena pada titik tertentu saya mungkin perlu memfilter sub blok hanya karena DDoS atau lalu lintas yang agresif sementara tidak ingin memblokir seluruh / 32 untuk beberapa penyedia besar.
Selain itu, ini dapat memungkinkan pengalihan atau penentuan prioritas lalu lintas berbasis kebijakan. Jika saya menyadari bahwa iklan berada di blok yang berbeda, saya dapat QoS mereka secara berbeda misalnya, fitur yang bagus untuk bandwidth rendah, tautan satelit yang padat.
EDIT: Untuk memperjelas sedikit. Mungkin ada kasus di mana saya perlu memblokir atau mengizinkan rentang tertentu dalam blok besar seperti a / 32. Ini mungkin sedikit berdekatan dan bukan ratusan entri, wildcard mungkin cocok dengan sebagian besar dari mereka. Ini juga dapat digunakan untuk rekayasa lalu lintas dengan cara saya bisa merutekan semua blok 10.x.10.0 di mana jika x aneh, ia pergi satu rute vs bahkan ke rute lain.
Contoh lain adalah DDoS di mana IP sumber IPv6 sedang spoof dengan pola yang mengeja nama grup peretas. Ini akan terjadi setidaknya sekali, alangkah baiknya bisa menyaringnya.
ACL yang ringkas lebih bersih tetapi tidak selalu lebih mudah dikelola. Hal-hal ini dapat berupa ide / praktik yang baik atau buruk, bukan di sini untuk membantahnya, hanya mencoba untuk menguasai alat apa yang saya miliki vs alat apa yang mungkin harus saya buat.
...:face:b00c:0:1
mana pendekatan Anda tidak akan mengambil.Jawaban:
Sayangnya, Cisco menghilangkan masker wildcard di IPv6. Itu kebanyakan hal yang baik, KECUALI dalam kasus khusus ini. Agar ide Anda berhasil, Anda harus mengandalkan Facebook karena "pintar" dan konsisten, yang mungkin lebih dari yang bisa diharapkan.
Tetapi jika Anda ingin memproses lalu lintas Facebook secara berbeda dari lalu lintas lainnya, Anda bisa memfilter pada blok alamat yang ditugaskan. Yang Anda sebutkan dalam pertanyaan Anda sebenarnya ditugaskan ke Facebook Irlandia: 2a03: 2880 :: / 32.
Tapi itu sama mudahnya untuk mencari orang lain di pendaftar.
sumber
/32
cukup besar sehingga Anda dapat memecahnya menjadi sangat banyak subnet dan merutekannya di seluruh dunia. Itu sebanyak subnet sebanyak alamat IP IPv4! Catatan whois hampir tidak relevan pada saat itu. Dan geolokasi belum terlalu baik untuk alamat IPv6.Saya melakukan beberapa permainan dengan FPM dan saya pikir itu dapat melakukan apa yang Anda cari:
Saya harus menggulung file ipv6.phdf saya sendiri untuk yang ini:
Sayangnya, ketika saya melakukan "tampilkan antarmuka kontrol akses jenis kebijakan-peta jenis fa0 / 1", saya tidak mendapatkan kecocokan pada ethertype:
Saya menduga ping saya ke alamat IPv6 Facebook tidak berjalan dengan benar melalui CEF ( FAQ FPM mengatakan itu diperlukan) atau saya kehilangan sesuatu. Tetap saja, aku mengeluarkan ini untuk siapa saja yang ingin mengunyahnya.
sumber