我们正在一个学生宿舍内运行一个IPv4networking(在以太网和Wifi上),约有200个用户,并且希望长期部署IPv6, 无状态自动configuration在单个/ 64前缀上 。
遗憾的是,提供上行链路的大学要求我们能够识别地址后面的用户。 他们目前正在运行一个防火墙,防止IPv4地址被误用(病毒等),这是一个可行的解决scheme,因为每个用户目前只有2个固定的v4地址。 我们已经有一个属于一个用户(configurationdhcpd)的所有MAC地址的列表,并希望有select地允许/阻止用户自己(networking费用支付,不正当行为等)。
在我第一次testingRaspberry Pi运行radvd时,我发现大多数连接的设备都启用了隐私扩展function,使得上行链路提供商无法阻止运行不当的IPv6地址的时间长于其有效时间。
到目前为止,我只看到几个select:
有没有使用现有的软件相当简单的解决scheme? 我们是否应该改变计划,改用DHCPv6(据说工作不如SLAAC)? 我已经想过要求一个更大的子网(/ 48),并给每个用户一个单独的/ 64,但是这需要一个有200个前缀的大型radvd.conf(+大概200个VLAN)和单播RA每小时改变几次据我所见。
那么,首先,依靠MAC地址作为识别信息不是一个好主意 – 用户可以轻易改变它们。
就SLAAC而言,正如你所发现的那样,它非常不适合你需要控制的环境。 因此,请考虑切换到DHCPv6。
一旦切换到DHCP,解决您的MAC地址问题是为您的用户启用802.1xvalidation。 这样,他们用自己的凭据login(而不是依靠MAC地址),然后您可以logging用户名是哪个IP地址,无论是v4还是v6。
您可能已经想到了这一点,但是您想要处理的另一件事是在交换机上过滤RA。 如果没有这样做,stream氓用户可能会在networking上pipe理MITM IPv6stream量。