12 votos

¿Cómo debo deshabilitar temporalmente IPv6 para toda la red?

Tenemos un tamaño medio de la red con IPv4 e IPv6 a través de ella, y nuestro proveedor ascendente está haciendo IPv6 va fuera por dos semanas, mientras que hacer... algo. (Es "experimental" y no nos pagan por ello, pero ha sido estable durante años, así que hemos activado a través de la junta.)

Hemos 150ish hosts de nuestra red de al menos una docena de diferentes sistemas operativos, además de una red inalámbrica para que la gente teléfonos y ordenadores portátiles, así que deshabilitar IPv6 en todos nuestros dispositivos es un non-starter.

Me gustaría evitar el exceso de la clásica roto IPv6 comportamiento con largos tiempos de espera antes de la conmutación por error a IPv4, y me estoy preguntando cuál es la mejor forma de hacerlo que es.

  • Debo bloque saliente paquetes IPv6 en la frontera y devolver un mensaje inaccesible, o que causa a los anfitriones para ser marcado inaccesible sin volver a caer en IPv4?
  • Es deshabilitar AAAA resolución a través de nuestro servidor de nombres BIND factible (y si es así, cómo), y si es así, es razonable?
  • Alternativamente, apagar RADVD a hacer el trabajo? Hacemos uso de la configuración estática en algunos de nuestros servidores, pero hay pocos de esos para hacer a mano.

9voto

Sander Steffann Puntos 3540

Me gustaría desactivar RAs y deshabilitar manualmente el configurada de forma estática los ejércitos. Configuración de un túnel es posible, pero renumeración dos veces va a ser más trabajo que la desactivación temporal de la misma.

Si anuncian IPv6 accesibilidad en el DNS (publicar registros AAAA), entonces usted debe quitar temporalmente. No olvide a aquellos que pueden ser almacenados por los usuarios para dejar tiempo suficiente entre la eliminación de los registros AAAA y deshabilitar IPv6.

6voto

sysadmin1138 Puntos 86362

La forma más fácil a sus clientes ir a la ipv6 túnel de la ruta. Si usted puede actualizar su enrutamiento para las subredes ir por el túnel que sería impresionante, pero usted puede tener que ir a un 1:1 NAT con el método de las subredes dado por el túnel proveedor de la asignación a los ya existentes. Te gustaría configurar el enrutamiento básico para enviar v6 de tráfico a través de la v6 de túneles, así que nada de confiar en ella seguiría trabajando, aunque quizás un poco más lento que antes, pero más rápido que v4-conmutación por recuperación, al menos. Las subredes a las que son totalmente asignados de forma dinámica, probablemente no necesitaría el 1:1 NAT, pero nada con asignaciones estáticas probablemente lo haría.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: