Внесение мобильных клиентов в белый список на основе идентификатора интерфейса IPv6

Прежде всего позвольте мне сказать, что у меня лишь небольшой опыт работы с IPv6. Быть нежным.

Мы (моя компания) в настоящее время вносим в белый список входящий клиентский доступ на основе адресов / подсетей IPv4, прежде чем они даже начнут разговаривать с нашим сервером удаленного доступа / VPN. Но для наших мобильных клиентов это означает занесение в белый список всех диапазонов аренды ISP, и с расширением наших территорий такая практика становится все менее выгодной.

Я изучаю возможность перехода наших мобильных клиентов на IPv6 и использования EUI-64 / Interface ID в качестве возможного метода внесения в белый список. Поскольку EUI-64 основан на аппаратном MAC-адресе мобильного широкополосного модема, теоретически я мог бы внести в белый список только те MAC-адреса, которые у нас есть - привлекательность с точки зрения безопасности должна быть очевидна.

Однако мне кажется, что мне нужно преодолеть как минимум два препятствия:

Идентификатор интерфейса на основе EUI-64 не выглядит нормой, насколько я могу судить. Каждый арендованный IPv6-адрес, который я просматривал, не выглядит так, как будто он использует EUI-64. Я не уверен, что мобильный клиент может настаивать на аренде с использованием идентификатора интерфейса на основе EUI-64 или полагаться на него.
Ни наш текущий брандмауэр (Cisco), ни какой-либо другой, который я исследовал, похоже, не поддерживают частичное / групповое сопоставление IPv6. Не выставочная пробка. Если понадобится, я построю свой собственный маршрутизатор; предоставления пункта-не делает начинание спорным.

Мои вопросы:

Можно ли настроить мобильные клиенты (Android, Windows) так, чтобы они могли полагаться на получение аренды IPv6 с использованием идентификатора интерфейса на основе EUI-64, или это полностью контролируется сервером DHCPv6?
Можно ли как-то использовать для этой цели статический IPv6 (туннелирование?).
Кто-нибудь знает о коммерческом оборудовании каких-либо поставщиков, которое позволяет фильтровать (маскировать) IPv6 только по идентификатору интерфейса IPv6-адреса?
Есть ли у кого-нибудь опыт работы с этим, который может дать понимание?

Пожалуйста, отвечайте, только если по теме: Белый список идентификаторов интерфейса IPv6. В настоящее время меня не интересуют альтернативные стратегии, спасибо.

Нет.

Опыт работы мобильных пользователей оставляет желать лучшего, так как они не могут контролировать, к какому интернет-провайдеру у них есть доступ.

IP-адрес не является аутентификатором по таким определениям, как NIST sp800-63b. Это не секрет, и это не контролируется пользователем. MAC-адрес даже не постоянный, его можно изменить на Android (временно) без рута.

Android не интересует EUI-64, расширения конфиденциальности всегда включены.

Добавить в черный список всю сеть, которую вы никогда не используете? Регистрировать IP-адреса как информацию об угрозах? Конечно. Но авторизация пользователя по его IP-адресу не имеет смысла.