识别SLAAC地址后面的个人

Question

我们在一个拥有大约200个用户的学生宿舍中运行一个IPv4网络(在以太网和Wifi上)，并且希望长期部署IPv6，在单个/64前缀上使用无状态的自动配置。

不幸的是，提供上行链路的大学要求我们能够识别地址背后的用户。他们目前正在运行防火墙，阻止IPv4地址的误用(病毒等)，这是一个可行的解决方案，因为每个用户目前只有2个固定的v4地址。我们已经有了一个属于用户(配置dhcpd)的所有MAC地址的列表，并且希望自己有选择地允许/阻止用户(网络费用支付、不当行为等等)。

在我对Raspberry运行的radvd进行的第一次测试中，我发现大多数连接的设备都启用了隐私扩展，使得上行链路提供者无法阻止一个行为不当的IPv6地址超过其有效时间。

到目前为止，我只看到了几个选择：

• 跟踪路由器上的邻居发现，并实时创建防火墙白名单条目。以某种方式向上行链路提供程序提供API以阻止给定IP的用户。(付出很大努力)
• 禁止隐私扩展并阻止所有没有..ff:fe的IP。
• 为上行链路提供程序添加一个自定义的IPv6扩展头，包括一个唯一的用户ID，这样他们就可以通过匹配一个IPv6头字段来阻止整个用户。

是否有使用现有软件的相当简单的解决方案？我们是否应该改变我们的计划，转而使用DHCPv6 (据说效果不如SLAAC)？我已经考虑过请求一个更大的子网(/48)，并为每个用户提供一个单独的/64，但据我所知，这需要有一个带有200个前缀(可能是200个VLAN)的巨大radvd.conf和单播RAs每小时更改几次。

Answer 1

首先，依赖MAC地址作为识别信息不是一个好主意--用户可以对其进行细微的更改。

关于SLAAC，正如您已经发现的，它非常不适合您需要控制的环境。因此，考虑切换到DHCPv6。

一旦切换到DHCP，MAC地址问题的解决方案就是为用户启用802.1x身份验证。通过这种方式，他们用凭证登录(而不是依赖MAC地址)，然后您可以记录用户名获得哪个IP地址，包括v4和v6。

您可能已经想到了这一点，但是您想要处理的另一件事是在您的开关设备上过滤RAs。如果不这样做，流氓用户就可以管理网络上的MITM IPv6流量。