我计划与我的上游提供商一起运行 BGP 并宣传我们的全球 IPv6 前缀。我只想在 ISP 的路由器和我的边界路由器之间使用本地链路地址,以使边界路由器对 Internet 不可见,从而减少攻击面。
有没有其他人试过这个?是否存在我应该注意的陷阱?
通过本地链路地址的 IPv6 BGP 对等互连
网络工程
路由
安全
bgp-ipv6
2021-07-22 03:45:34
1个回答
我和一些同行讨论过这个问题,共识是它不适用于 BGP,因为 BGP 不像 IGP 那样是面向接口的路由协议。IGP 在接口上启用,因此它们知道哪个接口具有对等方的链路本地地址。事实上,IGP 使用链路本地地址连接到对等方。
另一方面,BGP 不是由接口启用的;它被赋予一个邻居地址。BGP 无法分辨哪个接口具有链路本地邻居地址,因为所有 IPv6 接口都具有相同的链路本地子网 (fe80::/10)。BGP 通过 TCP(第 4 层)连接,因此它需要一个不同的地址来与之对等。
如果不尝试,我无法判断,但可能可以设置到对等方的本地链路地址的静态路由,但我严重怀疑 ISP 会为 POP 路由器上的非标准配置付出努力可能有来自多个客户的多个 WAN 终端。
其它你可能感兴趣的问题