¿Cómo debo deshabilitar temporalmente IPv6 para toda una red?

12

Tenemos una red de tamaño mediano con IPv4 e IPv6, y nuestro proveedor principal está haciendo que IPv6 desaparezca durante dos semanas mientras hacen ... algo. (Es "experimental" y no lo pagamos, pero ha sido estable durante años, así que lo activamos en todos los ámbitos).

Tenemos 150 hosts en nuestra red de al menos una docena de sistemas operativos diferentes, además de una red inalámbrica para teléfonos y computadoras portátiles de las personas, por lo que no es posible desactivar IPv6 en todos nuestros dispositivos.

Me gustaría evitar demasiado del comportamiento clásico de IPv6 roto con largos tiempos de espera antes de la conmutación por error a IPv4, y me pregunto cuál es la mejor manera de hacerlo.

  • ¿Debo bloquear los paquetes salientes de IPv6 en el borde y devolver un mensaje inalcanzable, o eso hará que los hosts se marquen como inalcanzables sin volver a IPv4?
  • ¿Es factible deshabilitar la resolución AAAA a través de nuestro servidor de nombres BIND (y si es así, cómo), y si es así, ¿es razonable?
  • Alternativamente, ¿apagar el RADVD hará el trabajo? Usamos la configuración estática en algunos de nuestros servidores, pero hay pocos suficientes para hacerlos a mano.
networking ipv6 Zanchey
fuente

Respuestas:

9

Apagaría los RA y deshabilitaría manualmente los hosts configurados estáticamente. También es posible configurar un túnel, pero renumerar dos veces será más trabajo que deshabilitarlo temporalmente.

Si anuncia accesibilidad IPv6 en DNS (publique registros AAAA), también debería eliminarlos temporalmente. No olvide que los usuarios pueden almacenarlos en caché, así que deje suficiente tiempo entre la eliminación de los registros AAAA y la desactivación de IPv6.

Sander Steffann
fuente
2
Sí, fuimos con esto ya que devolver mensajes de ICMP sin ruta causó que algunos clientes se molestaran mucho (particularmente si se enumeraban múltiples registros AAAA para un host). En particular, no tiene que eliminar la dirección v6 en Linux: simplemente marque todas las direcciones enrutadas globalmente como obsoletas y la mayoría de los clientes ignoran felizmente su existencia.
Zanchey
6

Lo más fácil para sus clientes sería ir a la ruta del túnel ipv6. Si puede actualizar su enrutamiento para que sus subredes atraviesen el túnel, eso sería increíble, pero es posible que tenga que ir a un método NAT 1: 1 con las subredes que le asignó el proveedor del túnel a las existentes. Configuraría su núcleo de enrutamiento para enviar tráfico v6 a través de los túneles v6 para que todo lo que dependa de él continúe funcionando, aunque tal vez sea un poco más lento que antes pero al menos más rápido que v4-failback. Las subredes que están completamente asignadas dinámicamente probablemente no necesitarían el NAT 1: 1, pero cualquier cosa con asignaciones estáticas probablemente sí.

sysadmin1138
fuente
1
Una buena sugerencia para sitios más grandes, pero desafortunadamente el proveedor de túnel factible más cercano está a muchos milisegundos de distancia y el NAT 1: 1 para IPv6 parece complicado en nuestro sistema de enrutamiento actual.
Zanchey