Facebook es muy inteligente con su esquema de direcciones IPv6, pero me hizo pensar en ACL y ¿Es posible escribir una ACL IPv6 de Cisco IOS que coincida? En IPv4, puede hacer coincidir un octeto medio como 10.xxx.10.xxx para golpear cualquier 'x' con 'no me importa'. No creo que esto sea posible en IPv6, al menos no a partir del IOS 15.1.
En el caso de mi ejemplo, dado que Facebook ha sido inteligente, hace que sea fácil hacer coincidir FACE: B00C si pudiera. En cierto modo, esto se simplifica porque sin buscar qué bloque se asignó, puedo igualar ese rango.
2A03: 2880: F000: [0000-FFFF]: CARA: B00C :: / 96
La forma obvia y normal es hacer coincidir 2A03: 2880: F000 :: / 48 pero, desafortunadamente, no estoy seguro de un vistazo si FB tiene un rango mayor (probablemente sí). Entonces, en este caso particular, si pudiera igualar solo la parte FACE: B00C, podría igualar todo lo que están usando, suponiendo que no pasen a FACE: B00D
Como no puedo ingresar una máscara comodín en IOS para ACL de IPv6, no creo que pueda hacerlo, pero tengo curiosidad si alguien tiene una solución interesante. Creo que sería útil saber esto porque en algún momento es posible que necesite filtrar un subbloque solo debido a DDoS o tráfico agresivo sin querer bloquear un / 32 completo para algún proveedor grande.
Además, esto podría permitir la redirección o la priorización del tráfico basado en políticas. Si me doy cuenta de que los anuncios están en un bloque diferente, podría QoS de manera diferente, por ejemplo, una buena característica para enlaces satelitales congestionados de bajo ancho de banda.
EDITAR: Para aclarar un poco. Puede haber casos en los que necesite bloquear o permitir ciertos rangos dentro de un bloque grande como un / 32. Estos pueden ser ligeramente contiguos y, en lugar de cientos de entradas, un comodín puede coincidir con grandes porciones de ellas. Esto también podría usarse para la ingeniería de tráfico de la manera en que podría enrutar todos los bloques 10.x.10.0 donde si x es impar, va de una ruta a otra incluso.
Otro ejemplo es un DDoS donde la IP de origen de IPv6 se está falsificando con un patrón que deletrea el nombre del grupo de los hackers. Esto sucederá al menos una vez, sería bueno poder filtrarlo.
Una ACL compacta es más limpia pero no siempre más manejable. Estas cosas pueden ser buenas o malas ideas / prácticas, no aquí para argumentar eso, solo tratando de entender qué herramientas tengo frente a qué herramientas puedo tener que crear.
...:face:b00c:0:1
su enfoque no recogerá.