Zum Hauptinhalt springen

4.3. Site Border Router and Firewall Packet Filtering (Site-Grenz-Router und Firewall-Paketfilterung)

4.3. Site Border Router and Firewall Packet Filtering (Site-Grenz-Router und Firewall-Paketfilterung)

Obwohl kein ernsthafter Schaden entsteht, wenn Pakete mit diesen Adressen über eine Standardroute außerhalb einer Site gesendet werden, wird empfohlen, dass Router standardmäßig so konfiguriert werden, dass sie verhindern, dass Pakete mit lokalen IPv6-Adressen aus der Site austreten und dass Site-Präfixe nicht außerhalb ihrer Site angekündigt werden.

Site-Grenz-Router und Firewalls sollten so konfiguriert werden, dass sie keine Pakete mit lokalen IPv6-Quell- oder Zieladressen außerhalb der Site weiterleiten, es sei denn, sie wurden explizit mit Routing-Informationen über spezifische /48 oder längere lokale IPv6-Präfixe konfiguriert. Dies stellt sicher, dass Pakete mit lokalen IPv6-Zieladressen nicht über eine Standardroute außerhalb der Site weitergeleitet werden. Das Standardverhalten dieser Geräte sollte sein, eine "reject"-Route für diese Präfixe zu installieren. Site-Grenz-Router sollten mit der entsprechenden ICMPv6 Destination Unreachable Nachricht antworten, um die Quelle zu informieren, dass das Paket nicht weitergeleitet wurde [ICMPV6]. Dieses Feedback ist wichtig, um Timeouts von Transportprotokollen zu vermeiden.

Router, die Peering-Vereinbarungen zwischen Autonomous Systems im gesamten Internet aufrechterhalten, sollten den Empfehlungen für Site-Grenz-Router folgen, sofern nicht anders konfiguriert.

Letztes Update am