Wie kann ich IPv6 für ein gesamtes Netzwerk vorübergehend deaktivieren?

12

Wir haben ein mittelgroßes Netzwerk mit IPv4 und IPv6, und unser Upstream-Anbieter lässt IPv6 für zwei Wochen verschwinden, während sie ... etwas tun. (Es ist "experimentell" und wir zahlen nicht dafür, aber es ist seit Jahren stabil, also haben wir es auf ganzer Linie aktiviert.)

Wir haben 150 verschiedene Hosts in unserem Netzwerk mit mindestens einem Dutzend verschiedener Betriebssysteme sowie ein drahtloses Netzwerk für Mobiltelefone und Laptops. Daher ist das Deaktivieren von IPv6 auf allen unseren Geräten kein Problem.

Ich möchte zu viel von dem klassischen IPv6-Verhalten mit langen Timeouts vor dem Failover auf IPv4 vermeiden und frage mich, wie das am besten funktioniert.

  • Sollte ich ausgehende IPv6-Pakete an der Grenze blockieren und eine nicht erreichbare Nachricht zurückgeben, oder werden Hosts dadurch als nicht erreichbar markiert, ohne auf IPv4 zurückzugreifen?
  • Ist es möglich (und wenn ja, wie), die AAAA-Auflösung über unseren BIND-Nameserver zu deaktivieren, und wenn ja, ist dies sinnvoll?
  • Wird das Ausschalten von RADVD die Aufgabe übernehmen? Wir verwenden statische Konfigurationen auf einigen unserer Server, aber es gibt nur wenige, die diese manuell ausführen können.
networking ipv6 Zanchey
quelle

Antworten:

9

Ich würde RAs deaktivieren und die statisch konfigurierten Hosts manuell deaktivieren. Das Einrichten eines Tunnels ist ebenfalls möglich, das zweimalige Umnummerieren ist jedoch aufwändiger als das vorübergehende Deaktivieren.

Wenn Sie die IPv6-Erreichbarkeit in DNS bekannt machen (AAAA-Einträge veröffentlichen), sollten Sie diese ebenfalls vorübergehend entfernen. Vergessen Sie nicht, dass diese möglicherweise von Benutzern zwischengespeichert werden. Lassen Sie also genügend Zeit zwischen dem Entfernen der AAAA-Einträge und dem Deaktivieren von IPv6.

Sander Steffann
quelle
2
Ja, wir gingen damit um, da das Zurücksenden von ICMP-Routenmeldungen einige Clients sehr verärgerte (insbesondere, wenn mehrere AAAA-Einträge für einen Host aufgelistet wurden). Insbesondere müssen Sie die v6-Adresse unter Linux nicht entfernen. Markieren Sie einfach alle global weitergeleiteten Adressen als veraltet und die meisten Clients ignorieren ihre Existenz.
Zanchey,
6

Am einfachsten ist es für Ihre Kunden, den IPv6-Tunnel zu benutzen. Wenn Sie Ihr Routing so aktualisieren können, dass Ihre Subnetze über den Tunnel gehen, wäre das fantastisch, aber Sie müssen möglicherweise zu einer 1: 1-NAT-Methode wechseln, bei der die Subnetze, die Sie vom Tunnelanbieter erhalten haben, Ihren vorhandenen zugeordnet werden. Sie würden Ihren Routing-Core so konfigurieren, dass er V6-Datenverkehr über die V6-Tunnel sendet, sodass alles, was darauf angewiesen ist, weiterhin funktioniert, wenn auch möglicherweise etwas langsamer als zuvor, aber zumindest schneller als ein V4-Failback. Subnetze, die vollständig dynamisch zugewiesen sind, benötigen wahrscheinlich kein 1: 1-NAT, bei statischen Zuweisungen jedoch wahrscheinlich.

sysadmin1138
quelle
1
Ein guter Vorschlag für größere Standorte, aber der nächstgelegene mögliche Tunnelanbieter ist leider viele Millisekunden entfernt und 1: 1-NAT für IPv6 sieht auf unserem aktuellen Routing-System schwierig aus.
Zanchey