Bagaimana saya harus menonaktifkan IPv6 sementara untuk seluruh jaringan?

12

Kami memiliki jaringan berukuran sedang dengan IPv4 dan IPv6 di atasnya, dan penyedia hulu kami membuat IPv6 hilang selama dua minggu sementara mereka melakukan ... sesuatu. (Ini "eksperimental" dan kami tidak membayar untuk itu, tapi sudah stabil selama bertahun-tahun jadi kami menyalakannya secara menyeluruh.)

Kami memiliki 150 host di jaringan kami yang terdiri dari sedikitnya selusin sistem operasi yang berbeda, ditambah jaringan nirkabel untuk ponsel dan laptop orang, jadi menonaktifkan IPv6 pada semua perangkat kami adalah non-starter.

Saya ingin menghindari terlalu banyak perilaku IPv6 klasik yang rusak dengan timeout yang lama sebelum gagal ke IPv4, dan saya bertanya-tanya apa cara terbaik untuk melakukannya.

  • Haruskah saya memblokir paket IPv6 keluar di perbatasan dan mengembalikan pesan yang tidak dapat dijangkau, atau akankah hal itu menyebabkan host ditandai tidak dapat dijangkau tanpa kembali ke IPv4?
  • Apakah menonaktifkan resolusi AAAA melalui nameserver BIND kami layak (dan jika ya, bagaimana), dan jika ya, apakah masuk akal?
  • Atau, akan mematikan RADVD melakukan pekerjaan? Kami memang menggunakan konfigurasi statis pada beberapa server kami, tetapi ada beberapa yang cukup untuk melakukannya secara manual.
networking ipv6 Zanchey
sumber

Jawaban:

9

Saya akan mematikan RAS dan secara manual menonaktifkan host yang dikonfigurasi secara statis. Menyiapkan sebuah terowongan juga dimungkinkan, tetapi memberi nomor dua kali akan lebih banyak pekerjaan daripada menonaktifkannya untuk sementara waktu.

Jika Anda mengiklankan keterjangkauan IPv6 dalam DNS (terbitkan catatan AAAA) maka Anda juga harus menghapusnya untuk sementara waktu. Jangan lupa yang mungkin di-cache oleh pengguna jadi sisakan waktu yang cukup antara menghapus catatan AAAA dan menonaktifkan IPv6.

Sander Steffann
sumber
2
Yap, kami melakukannya dengan mengembalikan ICMP tanpa pesan rute yang menyebabkan beberapa klien menjadi sangat kesal (terutama jika beberapa catatan AAAA terdaftar untuk host). Khususnya, Anda tidak perlu menghapus alamat v6 di Linux - cukup tandai semua alamat yang dialihkan secara global sudah usang dan sebagian besar klien dengan senang hati mengabaikan keberadaan mereka.
Zanchey
6

Yang termudah di klien Anda adalah pergi dengan rute terowongan-ipv6. Jika Anda dapat memperbarui perutean Anda sehingga subnet Anda melewati terowongan yang akan luar biasa, tetapi Anda mungkin harus pergi ke metode NAT 1: 1 dengan subnet yang diberikan oleh pemetaan penyedia terowongan ke yang ada. Anda akan mengkonfigurasi inti perutean Anda untuk mengirim lalu lintas v6 melalui terowongan v6 sehingga apa pun yang mengandalkannya akan terus bekerja, meskipun mungkin sedikit lebih lambat dari sebelumnya, tetapi lebih cepat dari v4-failback setidaknya. Subnet yang sepenuhnya ditugaskan secara dinamis mungkin tidak memerlukan NAT 1: 1, tetapi apa pun dengan tugas statis mungkin.

sysadmin1138
sumber
1
Saran yang bagus untuk situs yang lebih besar, tetapi sayangnya penyedia terowongan terdekat yang layak adalah beberapa milidetik jauhnya dan NAT 1: 1 untuk IPv6 terlihat rumit pada sistem perutean kami saat ini.
Zanchey