IPv6的接入层安全技术

在认证客户端侧只有选中了"上传IP地址"选项，对应连接在做802.1X认证时才允许上报IPv4和IPv6地址。当选择了"上传IP地址"的选项后，认证客户端会在802.1X认证时，将客户端认证网卡上的IPv4地址以及IPv6的全球单播地址通过接入设备上传至认证服务器，完成对双栈用户的识别。

认证服务器：认证服务器能够对客户端上传的IPv6/IPv4地址进行记录，对接入用户的日志信息进行审计。除了对用户的接入信息进行审计之外，在认证服务器上还可以对用户的身份信息进行绑定，能够绑定用户的IPv4/IPv6地址，接入端口，MAC地址等信息进行联合绑定，提高用户身份的可信度。

通过将认证客户端及认证服务器升级，能够处理双栈用户的网络层信息，这样为后续的用户身份审计，用户上网审计提供了有效参考。并且，在网络中能够对双栈用户的各种身份信息进行绑定，大大提高了接入用户的安全性。

三、 结束语

在双栈园区网的接入层，主要考虑网络协议安全及用户接入的身份安全两个部分，在升级为IPv6/IPv4后，接入层的安全控制同样要发生变化。上文描述了双栈网络中的接入层安全技术，包括ND协议安全及用户身份安全部分。在接入层安全技术的部署中，根据所需的安全等级及具体网络情况，有选择的进行部署，对ND协议的风险及非法用户的风险进行防御。在双栈网络中，可以与ARP防攻击结合，在接入层完成对ARP攻击，ND攻击及非法用户访问的防御，提升接入层网络的安全性。

发布者：小宇