Hallo Peter,

danke, dass du diese interessante und relevante Frage in die Runde wirfst. Das Thema /127 vs. /64 für Point-to-Point-Verbindungen ist in der Tat ein Klassiker, bei dem die Meinungen oft auseinandergehen. 

Du hast die zentralen Dokumente ja bereits selbst sehr gut zusammengefasst. Einerseits gibt es den RFC 6164, der aus Sicherheitsgründen die Verwendung von /127-Präfixen auf reinen Inter-Router-Links empfiehlt, um beispielsweise "Neighbor Discovery Exhaustion"-Angriffe zu erschweren. Auf der anderen Seite stehen die operativen Best Practices, wie sie RIPE im Dokument RIPE-690 zusammenfasst.

Die Empfehlung von RIPE, die du ansprichst, ist ein pragmatischer Kompromiss. Man erkennt die sicherheitstechnischen Vorteile eines /127 an, weist aber gleichzeitig auf zwei wichtige Punkte aus der Praxis hin: 

  1. Nicht alle Router oder Switche unterstützen Präfixlängen, die größer als /64 sind, oder die Nutzung solcher längeren Präfixe kann auf manchen Geräten mehr Ressourcen verbrauchen. Ein /64 ist daher der "sicherste Ansatz" (the safest approach), der mit praktisch jedem Equipment funktioniert. 

  2. Ein /64 bietet Flexibilität, falls sich zukünftige Standards ergeben oder der Link doch einmal für mehr als nur zwei Geräte genutzt werden soll. 

Der Kern der RIPE-Empfehlung lautet daher: Selbst wenn man sich für die Nutzung eines /127 entscheidet, ist es ratsam, für diesen Link trotzdem ein ganzes /64 zu allokieren und das /127 nur als ein Teil davon zu nutzen ("it is also advisable to allocate a /64 for each link and use just one /127 out of it"). So kombiniert man die Sicherheit des /127 mit der Stabilität und Zukunftssicherheit eines /64 in der Zuteilungslogik. 

Dass das Bundesverwaltungsamt in seinen Profilen für die öffentliche Verwaltung die Nutzung von RFC 6164 aus Sicherheitsaspekten als verpflichtend einstuft, unterstreicht den sicherheitstechnischen Aspekt. Hier wiegt das Sicherheitsbedürfnis in einem klar definierten Umfeld (öffentliche Verwaltung) möglicherweise schwerer als die allgemeine operative Flexibilität, die RIPE für Provider im Auge hat. 

Zusammenfassend lässt sich sagen, dass es hier wohl keine universell "richtige" Antwort gibt, sondern eher einen Abwägungsprozess zwischen maximaler Sicherheit (RFC 6164), maximaler Kompatibilität und operativer Einfachheit (RIPE-690). Die Empfehlung von RIPE ist ein sehr guter Mittelweg, der versucht, das Beste aus beiden Welten zu vereinen. 

Ich hoffe, das hilft dir weiter!

Viele Grüße

Lorenz Vauck


------ Original message ------
From "Peter Eltzschig" <eltzschig.peter@gmail.com>
To ddnog@lists.dd-ix.net
Date 12.07.2025 11:08:58
Subject [DDNOG] Frage zu IPv6 Peer-to-Peer-Links

Hallo zusammen,
 
ich bin ein Netzwerkadmin aus Dresden, der sich grade in das Thema
IPv6 einarbeitet.
 
Im Zuge meiner Recherchen bin ich auf das Thema "Peer-to-Peer-Links
zwischen Routern" und die kontroversen Diskussionen um das Thema /127
vs /64 gestoßen.
Nun gibt ja einen RFC 6164 der sich für /127 ausspricht, aber auch die
Best Practices von RIPE
https://www.ripe.net/publications/docs/ripe-690/welche für jedes /127
trotzdem die Allokierung eines /64 empfehlen.
Das Bundesverwaltungsamt schreibt in seiner Publikation "IPv6-Profile
für die Öffentliche Verwaltung" wiederum unter Punkt 4.5.1, dass die
Nutzung von RFC 6164 aus Sicherheitsaspekten verpflichtend ist, auch
wenn natürlich in der Einleitung steht, dass dieses Dokument "keine
Konfigurationsempfehlungen enthält".
 
Es scheint also verschiedene Standpunkte zu geben und mich hatte mal
interessiert, was die Meinungen, Erfahrungen und Empfehlungen der
lokalen Community sind, daher hatte ich Gestern mal an
contact@dd-ix.net geschrieben und schon mal eine Meinung von Marcel
bekommen.
Er meinte hier wäre ein guter Ort um noch ein Paar mehr Meinungen einzusammeln.
 
Danke schon mal für eueren Input.
 
Mit freundlichen Grüßen
Peter Eltzschig
_______________________________________________
DDNOG mailing list -- ddnog@lists.dd-ix.net
To unsubscribe send an email to ddnog-leave@lists.dd-ix.net