Як я можу тимчасово відключити IPv6 для всієї мережі?

12

У нас є мережа середнього розміру з IPv4 та IPv6 по всій цій мережі, і наш провайдер вище за течією змушує IPv6 піти на два тижні, поки вони роблять ... щось (Це "експериментально", і ми не платимо за це, але він стабільний роками, тому ми ввімкнули його по всій раді.)

У нашій мережі є 150 хостів, щонайменше, з десятка різних операційних систем, а також бездротова мережа для телефонів і ноутбуків людей, тому відключення IPv6 на всіх наших пристроях не є стартером.

Я хотів би уникнути занадто великої кількості класичної порушеної поведінки IPv6 із тривалими таймаутами до відмови на IPv4, і мені цікаво, що найкращий спосіб зробити це.

  • Чи слід блокувати вихідні пакети IPv6 на кордоні та повертати недоступне повідомлення, або це призведе до того, що хости будуть позначені недоступними, не повертаючись до IPv4?
  • Чи можливо відключення роздільної здатності AAAA через наш сервер імен BIND (і якщо так, то як), і якщо так, чи це розумно?
  • Або ж вимкнення RADVD виконає цю роботу? Ми використовуємо статичну конфігурацію на деяких наших серверах, але їх досить мало, щоб зробити їх вручну.
networking  ipv6 
Занчей
джерело

Відповіді:

9

Я б відключив RA і вручну відключив статично налаштовані хости. Налаштування тунелю також можливо, але перерахунок номерів двічі буде більшою роботою, ніж тимчасовим відключенням.

Якщо ви рекламуєте доступність IPv6 у DNS (публікуйте записи AAAA), тоді також слід тимчасово видалити їх. Не забувайте, що вони можуть кешуватися користувачами, тому залишайте достатньо часу між видаленням записів AAAA та відключенням IPv6.

Сандер Стеффан
джерело
2
Так, ми вирішили це, оскільки повернення ICMP жодних повідомлень про маршрути не спричинило деяких клієнтів дуже засмучуватися (особливо, якщо для хоста було вказано кілька записів AAAA). Зокрема, вам не доведеться видаляти v6 адресу в Linux - просто позначте її усі глобально маршрутизовані адреси як застарілі, і більшість клієнтів із задоволенням ігнорують їх існування.
Занчі
6

Найпростіше для ваших клієнтів було б пройти маршрут тунелю ipv6. Якщо ви можете оновити свою маршрутизацію, щоб ваші підмережі перейшли через тунель, що було б дивним, але вам, можливо, доведеться перейти до методу NAT 1: 1 з підмережами, які вам надає тунельний постачальник, який відображає ваші існуючі. Ви б налаштували своє ядро ​​маршрутизації для надсилання трафіку v6 через тунелі v6, щоб все, на що покладається, продовжувало працювати, хоч, можливо, трохи повільніше, ніж раніше, але швидше, ніж принаймні відмова v4. Підмережам, які повністю динамічно присвоєні, ймовірно, не знадобиться NAT 1: 1, але все, що має статичні призначення, можливо.

sysadmin1138
джерело
1
Хороша пропозиція для великих сайтів, але, на жаль, найближчий можливий постачальник тунелів знаходиться за багато мілісекунд, і NAT: 1: 1 для IPv6 виглядає складно в нашій поточній системі маршрутизації.
Zanchey
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.