目前,在我的 IPv4-only 服务上,用户可以将他们的 IP 地址列入白名单,这允许他们在登录时绕过电子邮件 2 因素身份验证。当他们这样做时,我们只将该单个 IP 地址列入白名单,因为假设每个 ISP 客户都获得他们自己的 IPv4 地址(至少在美国)。
我们想要启用 IPv6 支持,在研究 IPv6 子网划分的工作原理后,我们发现我们需要将整个 IPv6 子网而不是单个地址列入白名单。
搜索有关 serverfault 的其他 IPv6 问题,似乎有关于将哪个子网委派给每个 ISP 最终用户的信息存在冲突。看到这个答案:
/56:256 个基本子网的块。尽管当前的政策允许 ISP 向每个最终用户分发大至 /48 的块,并且仍然认为他们的地址使用是合理的,但一些 ISP 可能(并且已经这样做)选择将 /56 分配给消费级客户作为妥协分配之间
/48:一个由 65536 个基本子网组成的块以及每个 ISP 客户端站点应接收的推荐块大小。
仅基于该答案,对于每个用户收到的 IPv6 块,已经有 3 个相互矛盾的陈述:
那么对于使用 IP 地址进行白名单的服务,哪个 IPv6 块适合列入白名单?我应该让用户决定吗?(用户相当精通技术并且知道子网是什么)