Como devo desativar temporariamente o IPv6 para uma rede inteira?

12

Temos uma rede de tamanho médio com IPv4 e IPv6, e nosso provedor de upstream está fazendo o IPv6 desaparecer por duas semanas enquanto eles fazem ... alguma coisa. (É "experimental" e nós não pagamos por isso, mas tem sido estável há anos, então nós o transformamos no quadro.)

Temos 150 hosts na nossa rede de pelo menos uma dúzia de sistemas operacionais diferentes, além de uma rede sem fio para os telefones e laptops das pessoas, portanto, desabilitar o IPv6 em todos os nossos dispositivos não é uma novidade.

Eu gostaria de evitar muito do comportamento clássico do IPv6 interrompido com longos tempos limite antes do failover para o IPv4, e estou imaginando qual é a melhor maneira de fazer isso.

  • Devo bloquear os pacotes IPv6 de saída na borda e retornar uma mensagem inacessível, ou isso fará com que os hosts sejam marcados como inacessíveis sem voltar ao IPv4?
  • Está a desactivar a resolução AAAA através do nosso servidor de nomes BIND (e se sim, como) e, em caso afirmativo, é sensato?
  • Como alternativa, desligar o RADVD faz o trabalho? Nós usamos a configuração estática em alguns de nossos servidores, mas há poucos deles para fazê-los manualmente.
por Zanchey 30.06.2014 / 03:37

2 respostas

9

Eu desligaria os RAs e desabilitaria manualmente os hosts configurados estaticamente. Também é possível configurar um túnel, mas renumerar duas vezes será mais trabalhos do que desativá-lo temporariamente.

Se você anunciar a acessibilidade do IPv6 no DNS (publicar registros AAAA), remova-as também temporariamente. Não se esqueça de que esses podem ser armazenados em cache pelos usuários, portanto, deixe tempo suficiente entre remover os registros AAAA e desativar o IPv6.

    
por 30.06.2014 / 11:18
6

O mais fácil para os seus clientes é seguir a rota do túnel ipv6. Se você puder atualizar seu roteamento para que suas sub-redes ultrapassem o túnel, isso seria incrível, mas você pode ter que ir para um método NAT de 1: 1 com as sub-redes fornecidas pelo mapeamento de provedor de túnel para as existentes. Você configuraria seu núcleo de roteamento para enviar tráfego v6 sobre os túneis v6 para que qualquer coisa que dependesse dele continuasse a funcionar, embora talvez um pouco mais lenta do que antes, mas mais rápido que o failback v4, pelo menos. Sub-redes que são atribuídas inteiramente dinamicamente provavelmente não precisariam do NAT de 1: 1, mas qualquer coisa com atribuições estáticas provavelmente seria necessária.

    
por 30.06.2014 / 03:54