Identifique os indivíduos por trás dos endereços SLAAC

Estamos operando uma rede IPv4 (em ethernet e Wifi) em um dormitório estudantil com ~ 200 usuários e queremos implantar IPv6 a longo prazo, com autoconfiguração sem estado em a prefixo único / 64 .

Infelizmente, a universidade que fornece o uplink exige que identifiquemos os usuários por trás de um endereço. Eles estão atualmente executando um firewall bloqueando endereços IPv4 em caso de uso indevido (vírus, etc.), o que é uma solução viável, pois cada usuário tem atualmente apenas dois endereços v4 fixos. Já temos uma lista de todos os endereços MAC que pertencem a um usuário (para configurar o dhcpd) e queremos seletivamente permitir / bloquear os próprios usuários (pagamento de taxa de rede, mau comportamento, etc.).

Nos meus primeiros testes com um Raspberry Pi rodando o radvd eu descobri que a maioria dos dispositivos conectados tem extensões de privacidade habilitadas, tornando impossível para o provedor de uplink bloquear um endereço IPv6 mal-comportado por um tempo maior que o seu tempo de validade. >

Até agora só vejo algumas opções:

• Rastreie Descobertas Vizinhas no roteador e crie uma entrada de lista de desbloqueio de firewall em tempo real. De alguma forma, fornecer uma API para o provedor de uplink para bloquear o usuário de um determinado IP. (alto esforço)
• Proibir extensões de privacidade e bloquear todos os IPs sem ..ff: fe ..
• Adicione um cabeçalho de extensão IPv6 personalizado para o provedor de uplink, incluindo um ID de usuário exclusivo, para que eles possam bloquear todo o usuário apenas correspondendo a um campo de cabeçalho IPv6.

Existe alguma solução simples usando software existente? Devemos mudar nossos planos e usar o DHCPv6 (dito não tão bom quanto o SLAAC)? Eu já pensei em solicitar uma sub-rede maior (/ 48) e dar um separado / 64 para cada usuário, mas isso exigiria um enorme radvd.conf com 200 prefixos (+ provavelmente 200 VLANs) e RAs unicast mudando algumas vezes por hora , até onde eu vejo.