Come devo disabilitare temporaneamente IPv6 per un'intera rete?

12

Abbiamo una rete di medie dimensioni con IPv4 e IPv6 su di essa, e il nostro provider upstream fa sparire IPv6 per due settimane mentre fanno ... qualcosa. (È "sperimentale" e non lo paghiamo, ma è stabile da anni, quindi l'abbiamo attivato su tutta la linea.)

Abbiamo 150 host sulla nostra rete di almeno una dozzina di diversi sistemi operativi, oltre a una rete wireless per telefoni e laptop delle persone, quindi disabilitare IPv6 su tutti i nostri dispositivi non è un inizio.

Vorrei evitare troppo del classico comportamento IPv6 rotto con lunghi timeout prima del failover su IPv4, e mi chiedo quale sia il modo migliore per farlo.

  • Devo bloccare i pacchetti IPv6 in uscita alla frontiera e restituire un messaggio non raggiungibile, o ciò causerà la marcatura degli host non raggiungibili senza ricorrere a IPv4?
  • È possibile disabilitare la risoluzione AAAA tramite il nostro nameserver BIND (e se sì, come), e se sì, è sensato?
  • In alternativa, spegnere RADVD farà il lavoro? Usiamo la configurazione statica su alcuni dei nostri server, ma ce ne sono pochi sufficienti per eseguirli manualmente.
networking  ipv6 
Zanchey
fonte

Risposte:

9

Spegnerei le RA e disabiliterei manualmente gli host configurati staticamente. È anche possibile impostare un tunnel, ma rinumerare due volte sarà più lavoro che disabilitarlo temporaneamente.

Se pubblicizzi la raggiungibilità di IPv6 in DNS (pubblica record AAAA), dovresti rimuovere anche quelli temporaneamente. Non dimenticare che potrebbero essere memorizzati nella cache dagli utenti, quindi lascia abbastanza tempo tra la rimozione dei record AAAA e la disabilitazione di IPv6.

Sander Steffann
fonte
2
Sì, siamo andati con questo perché la restituzione di messaggi ICMP senza instradamento ha causato alcuni clienti ad essere molto turbati (in particolare se più record AAAA sono stati elencati per un host). In particolare, non è necessario rimuovere l'indirizzo v6 in Linux: contrassegnare tutti gli indirizzi indirizzati a livello globale come obsoleti e la maggior parte dei client ignora felicemente la propria esistenza.
Zanchey,
6

Il modo più semplice per i tuoi clienti sarebbe di seguire il percorso del tunnel ipv6. Se riesci ad aggiornare il tuo routing in modo che le tue sottoreti passino attraverso il tunnel sarebbe fantastico, ma potresti dover passare a un metodo NAT 1: 1 con le sottoreti fornite dal provider del tunnel che mappano a quelle esistenti. Configureresti il ​​tuo core di routing per inviare il traffico v6 sui tunnel v6 in modo che tutto ciò che fa affidamento su di esso continui a funzionare, anche se forse un po 'più lentamente di prima ma almeno più veloce del failback v4. Le sottoreti che sono assegnate interamente in modo dinamico probabilmente non avrebbero bisogno del NAT 1: 1, ma probabilmente tutto ciò con assegnazioni statiche.

sysadmin1138
fonte
1
Un buon suggerimento per siti più grandi, ma sfortunatamente il fornitore di tunnel fattibile più vicino è a molti millisecondi di distanza e NAT 1: 1 per IPv6 sembra complicato per il nostro attuale sistema di routing.
Zanchey,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.