Comment dois-je désactiver temporairement IPv6 pour un réseau entier?

12

Nous avons un réseau de taille moyenne avec IPv4 et IPv6, et notre fournisseur en amont fait disparaître IPv6 pendant deux semaines pendant qu'il fait ... quelque chose. (C'est "expérimental" et nous ne le payons pas, mais il est stable depuis des années, nous l'avons donc activé dans tous les domaines.)

Nous avons 150 hôtes sur notre réseau d'au moins une douzaine de systèmes d'exploitation différents, plus un réseau sans fil pour les téléphones et les ordinateurs portables des gens, donc la désactivation d'IPv6 sur tous nos appareils n'est pas un démarrage.

Je voudrais éviter trop de comportement IPv6 cassé classique avec de longs délais d'attente avant le basculement vers IPv4, et je me demande quelle est la meilleure façon de le faire.

  • Dois-je bloquer les paquets IPv6 sortants à la frontière et renvoyer un message inaccessible, ou est-ce que les hôtes seront marqués comme inaccessibles sans revenir à IPv4?
  • Est-il possible de désactiver la résolution AAAA via notre serveur de noms BIND (et si oui, comment), et si oui, est-ce raisonnable?
  • Sinon, la désactivation de RADVD fera-t-elle l'affaire? Nous utilisons une configuration statique sur certains de nos serveurs, mais il y en a assez peu pour les faire à la main.
networking ipv6 Zanchey
la source

Réponses:

9

Je désactiverais les RA et désactiverais manuellement les hôtes configurés statiquement. La mise en place d'un tunnel est également possible, mais la renumérotation deux fois sera plus fastidieuse que sa désactivation temporaire.

Si vous annoncez l'accessibilité IPv6 dans DNS (publiez des enregistrements AAAA), vous devez également les supprimer temporairement. N'oubliez pas que ceux-ci peuvent être mis en cache par les utilisateurs, laissez donc suffisamment de temps entre la suppression des enregistrements AAAA et la désactivation d'IPv6.

Sander Steffann
la source
2
Oui, nous sommes allés dans ce sens car le renvoi de messages ICMP sans itinéraire a provoqué la colère de certains clients (en particulier si plusieurs enregistrements AAAA étaient répertoriés pour un hôte). Notamment, vous n'avez pas à supprimer l'adresse v6 sous Linux - il suffit de marquer toutes les adresses routées globalement comme obsolètes et la plupart des clients ignorent volontiers leur existence.
Zanchey
6

Le plus simple pour vos clients serait de suivre la route ipv6-tunnel. Si vous pouvez mettre à jour votre routage pour que vos sous-réseaux passent par le tunnel, ce serait génial, mais vous devrez peut-être utiliser une méthode NAT 1: 1 avec les sous-réseaux que le fournisseur de tunnel vous a fournis en mappant avec ceux existants. Vous configureriez votre cœur de routage pour envoyer du trafic v6 sur les tunnels v6 afin que tout ce qui en dépend continuerait à fonctionner, quoique peut-être un peu plus lent qu'auparavant mais plus rapide que la restauration v4-backback au moins. Les sous-réseaux qui sont entièrement attribués dynamiquement n'auraient probablement pas besoin du NAT 1: 1, mais tout ce qui a des affectations statiques en aurait probablement besoin.

sysadmin1138
la source
1
Une bonne suggestion pour les sites plus grands, mais malheureusement, le fournisseur de tunnel réalisable le plus proche est à plusieurs millisecondes et le NAT 1: 1 pour IPv6 semble délicat sur notre système de routage actuel.
Zanchey