Как мне временно отключить IPv6 для всей сети?

12

У нас есть сеть среднего размера с IPv4 и IPv6 через нее, и наш поставщик основной ветки разработки заставляет IPv6 уходить на две недели, пока они делают ... что-то. (Он «экспериментальный», и мы не платим за него, но он был стабильным в течение многих лет, поэтому мы включили его по всем направлениям.)

У нас есть 150 хостов в нашей сети, по крайней мере, с дюжиной различных операционных систем, а также беспроводная сеть для телефонов и ноутбуков других людей, поэтому отключение IPv6 на всех наших устройствах не является началом.

Я хотел бы избежать слишком большого количества классического нарушения работы IPv6 с длительными таймаутами до перехода на IPv4, и мне интересно, каков наилучший способ сделать это.

  • Стоит ли блокировать исходящие пакеты IPv6 на границе и возвращать недостижимое сообщение, или это приведет к тому, что хосты будут помечены как недоступные без возврата к IPv4?
  • Возможно ли отключение разрешения AAAA через наш сервер имен BIND (и если да, то как), и если да, то разумно ли это?
  • В качестве альтернативы, будет ли работать выключение RADVD? Мы используем статическую конфигурацию на некоторых наших серверах, но их мало, чтобы сделать их вручную.
networking  ipv6 
Zanchey
источник

Ответы:

9

Я бы отключил RA и вручную отключил статически настроенные хосты. Настройка туннеля также возможна, но перенумерация в два раза будет более трудоемкой, чем ее временное отключение.

Если вы объявляете о доступности IPv6 в DNS (публикуете записи AAAA), вам также следует временно удалить их. Не забывайте, что они могут кэшироваться пользователями, поэтому оставьте достаточно времени между удалением записей AAAA и отключением IPv6.

Сандер Штеффанн
источник
2
Да, мы пошли с этим, так как возвращая ICMP, никакие сообщения о маршрутах не заставляли некоторых клиентов очень расстраиваться (особенно, если для хоста было указано несколько записей AAAA). Примечательно, что вам не нужно удалять адрес v6 в Linux - просто пометьте все глобально маршрутизируемые адреса как устаревшие, и большинство клиентов с радостью игнорируют их существование.
Занчей
6

Самый простой способ для ваших клиентов - пойти по маршруту ipv6-tunnel. Если вы можете обновить свою маршрутизацию так, чтобы ваши подсети проходили через туннель, что было бы замечательно, но вам, возможно, придется перейти к методу NAT 1: 1 с подсетями, предоставленными вам провайдером туннеля, отображающими ваши существующие. Вы бы сконфигурировали ядро ​​маршрутизации для отправки трафика v6 через туннели v6, чтобы все, что полагалось на него, продолжало работать, хотя, возможно, немного медленнее, чем раньше, но, по крайней мере, быстрее, чем восстановление v4. Подсетям, которые полностью динамически назначены, вероятно, не понадобится NAT 1: 1, но что-нибудь со статическими назначениями, вероятно, понадобится.

sysadmin1138
источник
1
Хорошее предложение для крупных сайтов, но, к сожалению, ближайший возможный поставщик туннелей находится на расстоянии многих миллисекунд, и 1: 1 NAT для IPv6 выглядит сложным в нашей текущей системе маршрутизации.
Занчей
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.