Facebook дуже розумний зі своєю схемою адрес IPv6, але це задумало мене про ACL та чи можна написати Cisco IOS IPv6 ACL, який відповідає? У IPv4 ви можете зіставити середній октет, наприклад 10.xxx.10.xxx, щоб потрапити на будь-який "x" з "не хвилює". Я не думаю, що це можливо в IPv6, принаймні, не в IOS 15.1.
Що стосується мого прикладу, оскільки Facebook був розумним, це легко поєднувати FACE: B00C, якщо ви могли. У чомусь це спрощується, оскільки, не шукаючи, який блок був призначений, я можу просто відповідати цьому діапазону.
2A03: 2880: F000: [0000-FFFF]: ЛИЦЕ: B00C :: / 96
Очевидний і нормальний спосіб - це узгодження на 2A03: 2880: F000 :: / 48, але, на жаль, я не впевнений з першого погляду, якщо FB має більший діапазон (напевно, є). Тож у цьому конкретному випадку, якби я міг співставити лише частину FACE: B00C, я міг би порівняти все, що вони використовують, якщо припустити, що вони не переходять на FACE: B00D
Оскільки я не можу ввести маску підстановки в IOS для та IPv6 ACL, я не думаю, що ти можеш це зробити, але мені цікаво, якщо хтось має цікаве рішення. Я думаю, було б корисно це знати, тому що в якийсь момент мені може знадобитися фільтрувати підблок лише через DDoS або агресивний трафік, не бажаючи блокувати цілий / 32 для якогось великого провайдера.
Крім того, це може забезпечити перенаправлення або пріоритетність трафіку на основі політики. Якщо я усвідомлюю, що реклама розміщена в іншому блоці, я можу по-різному оцінити їх, наприклад, приємна функція для низької пропускної здатності, перевантажених супутникових каналів.
EDIT: Щоб уточнити трохи. Можуть бути випадки, коли мені потрібно заблокувати або дозволити певні діапазони у великому блоці, як / 32. Вони можуть бути злегка суміжними, а замість сотні записів, підказки можуть відповідати великим частинам. Це також може бути використане для інженерії трафіку так, як я міг би прокласти всі блоки 10.x.10.0, де, якщо х непарне, воно переходить один маршрут проти навіть іншого маршруту.
Інший приклад - DDoS, де IP-джерело джерела IPv6 підробляє шаблоном, що записує назву групи хакерів. Це станеться хоча б раз, було б непогано мати можливість фільтрувати на ньому.
Компактний ACL чистіший, але не завжди більш керований. Ці речі можуть бути хорошими чи поганими ідеями / практикою, тут не сперечатися, просто намагаючись зрозуміти, які інструменти у мене є, і які інструменти я можу створити.
...:face:b00c:0:1
підходив до вашого підходу.