細(xì)心的伙伴可能留意到，我刪除了最近一期的視頻。

大家可能感到疑惑，畢竟標(biāo)題非常炸裂，效果可以說是殺手級的。

這里我解釋一下。

首先，這個視頻里我的 byr ID 沒有打碼，違反了北郵人社區(qū)公約。其實主要是我懶，現(xiàn)在不像 2020 年初疫情在家那么閑，沒時間對視頻做剪輯，只能盡量用通俗易懂的話表達(dá)清楚，同時附上盡可能詳盡的博客、視頻描述。

其次，雖然通過 ebtables-legacy?命令在以太網(wǎng)層次實現(xiàn)校園網(wǎng) IPv6 接入很棒，而且我已經(jīng)用了一周多了，效果非常穩(wěn)定。但是，這里面存在安全隱患。這相當(dāng)于把外網(wǎng)接到內(nèi)網(wǎng)里來，而且是利用了 IPv6 + IPv4 雙棧分離的特性，所以 OpenWrt 的防火墻是攔不住的，所有的基于轉(zhuǎn)發(fā)的過濾規(guī)則都不起作用。這必然給駭客攻擊留下了后門，畢竟 LAN Zone是我們的后花園，允許另一個屬性的生物自由出入，肯定不是個好事情。雖然我現(xiàn)在還不清楚有什么隱患，但是我知道這并不是 Best Practice.

主要是因為第二點，我下架了視頻。

最后，如果你確實對校園網(wǎng) IPv6 分配有需求，而且需要用到軟路由，那么我把命令提供給你，有需要自己研究即可。同時要特別注意混雜模式和環(huán)路問題。

首先固件需要支持 ebtables 命令或者 ebtables-legacy 命令。隨后，找到你接入到校園網(wǎng)交換機(jī)的那個網(wǎng)卡的 id. 因為這套方案基于 esxi 或者 pve 虛擬化，所以我先把使用場景描述一下。

1. esxi 有兩個網(wǎng)口，一個接校園網(wǎng)，一個接內(nèi)網(wǎng)交換機(jī)。兩個網(wǎng)卡分別配置到兩個虛擬交換機(jī)上充當(dāng)上行鏈路。

2. OpenWrt 軟路由要配置兩個校園網(wǎng)網(wǎng)卡，如圖2所示。其中一個網(wǎng)卡給OpenWrt自己用，接在 WAN6 防火墻下；另一個接入 br-lan。

3. 接入 br-lan 的校園網(wǎng)網(wǎng)卡，要主動丟掉所有 IPv4 數(shù)據(jù)包，這是基于 ebtabls 實現(xiàn)的。ebtables 可以在鏈路層工作并處理以太網(wǎng)數(shù)據(jù)幀。命令如下：

務(wù)必要把 eth2 改成你自己的網(wǎng)卡 id。

最后，ebtables 開機(jī)失效，所以要在啟動項里添加一行：

如果最后，因為有很多廣播包是漫無目的發(fā)送的，而且校園網(wǎng) IPv6 分配是基于 SLAAC（至少我們學(xué)校是這樣），所以要開啟 ESXi 端口組的混雜模式：

雖然下架視頻扣除兩個硬幣，但是還是得補(bǔ)上相關(guān)內(nèi)容！

如果你采用了這個方案，那我就不保證網(wǎng)絡(luò)安全了。之前我說IPv6是安全的，那是因為有基于轉(zhuǎn)發(fā)的防火墻策略，現(xiàn)在你將裸奔在廣闊的IPv6世界。