Názor k článku Univerzitní eduroam pouze na IPv6: CLAT, DHCPv6 a logování od VS - Zrovna řeším návrh sítě kde bude i Eduroam...
-
Zrovna řeším návrh sítě kde bude i Eduroam a IPv6, a čekal jsem jak bude vyřešené logování provozu, protože to je docela bolest... Ukládat ND tabulku beru jako hodně minimalistické řešení, jeho nedostatky jsou nakonec pod článkem zmíněny.
U IPv4 jde spolehlivě nasadit na access síti IP Source Guard, takže od klienta neprojde jiná zdrojová IP než přidělil DHCP server. Pak stačí flow monitoring na úrovni IP adres, doplněný o logy DHCP serveru (vazba na MAC) a Radiusu (vazba na identitu).
U IPv6 se nevyhneme podpoře autokonfigurace (Android), a pak jediné plně spolehlivé řešení je sbírat NetFlow/IPFIX data včetně MAC adres. Tj. součástí identifikace flow jsou nejen IP adresy ale i MAC adresa klienta, podle které se dělá vazba na identitu.
Problém je, že ne každý netflow probe toto umí. Nejelegantnější je sbírat netflow data přímo na routeru. Třeba FortiGate umí netflow probe v HW, což je fajn, a když se na něm zároveň dělá IPv4 NAT, tak mám data rovnou včetně informací z NAT tabulky. Jenže neumí v netflow posílat ty MAC adresy. Nasazením externí flow probe se všechno dost komplikuje a prodražuje, protože to v tomto případě vede na monitorování 4x 10Gb/s portů (HA setup) a stejně z routeru potřebuju dostávat data NAT tabulky...
Jasně, tohle je třeba nedokonalost FortiGate, jenže prostě ani v roce 2024 nejsou všechny produkty v konečném důsledku tak IPv6 ready, aby to nepřinášelo dodatečné komplikace a náklady.
