Como devo desabilitar temporariamente o IPv6 para uma rede inteira?

12

Temos uma rede de tamanho médio com IPv4 e IPv6, e nosso provedor upstream está fazendo o IPv6 desaparecer por duas semanas enquanto eles fazem ... alguma coisa. (É "experimental" e não pagamos por isso, mas está estável há anos, por isso a ativamos em todos os aspectos.)

Temos 150 hosts em nossa rede de pelo menos uma dúzia de sistemas operacionais diferentes, além de uma rede sem fio para telefones e laptops de pessoas, de modo que a desativação do IPv6 em todos os nossos dispositivos não é necessária.

Gostaria de evitar muito do comportamento clássico do IPv6 interrompido com longos tempos limite antes do failover para o IPv4, e estou me perguntando qual é a melhor maneira de fazer isso.

  • Devo bloquear pacotes IPv6 de saída na borda e retornar uma mensagem inacessível ou isso fará com que os hosts sejam marcados como inacessíveis sem voltar ao IPv4?
  • A desativação da resolução AAAA através do nosso servidor de nomes BIND é viável (e se sim, como) e se sim, é sensata?
  • Como alternativa, o RADVD será desativado? Usamos a configuração estática em alguns de nossos servidores, mas há poucos o suficiente para fazê-los manualmente.
networking ipv6 Zanchey
fonte

Respostas:

9

Desativaria os RAs e desativaria manualmente os hosts configurados estaticamente. Também é possível configurar um túnel, mas renumerar duas vezes será mais trabalhoso do que desativá-lo temporariamente.

Se você anunciar a acessibilidade IPv6 no DNS (publicar registros AAAA), também deverá removê-los temporariamente. Não esqueça que os usuários podem ser armazenados em cache pelos usuários; portanto, deixe tempo suficiente entre remover os registros AAAA e desativar o IPv6.

Sander Steffann
fonte
2
Sim, seguimos com isso, pois o retorno de mensagens ICMP sem rota causava alguns clientes muito chateados (principalmente se vários registros AAAA estavam listados para um host). Notavelmente, você não precisa remover o endereço v6 no Linux - apenas marque todos os endereços roteados globalmente como obsoletos e a maioria dos clientes felizmente ignora sua existência.
Zanchey
6

O mais fácil para seus clientes seria seguir a rota do túnel ipv6. Se você pode atualizar seu roteamento para que suas sub-redes passem pelo túnel, isso seria incrível, mas talvez você precise ir para um método NAT 1: 1 com as sub-redes fornecidas pelo provedor de túneis, mapeando as existentes. Você configuraria seu núcleo de roteamento para enviar tráfego v6 pelos túneis v6, para que qualquer coisa que dependesse dele continuasse funcionando, embora talvez um pouco mais lento do que antes, mas mais rápido que pelo menos o v4-failback. Sub-redes atribuídas inteiramente dinamicamente provavelmente não precisariam do NAT 1: 1, mas qualquer coisa com atribuições estáticas provavelmente precisaria.

sysadmin1138
fonte
1
Uma boa sugestão para sites maiores, mas infelizmente o provedor de túnel possível mais próximo fica a muitos milissegundos de distância e o 1: 1 NAT para IPv6 parece complicado em nosso sistema de roteamento atual.
Zanchey 01/07/19