Tôi nên tạm thời vô hiệu hóa IPv6 cho toàn bộ mạng như thế nào?

12

Chúng tôi có một mạng có kích thước trung bình với IPv4 và IPv6 trên mạng và nhà cung cấp thượng nguồn của chúng tôi sẽ khiến IPv6 biến mất trong hai tuần trong khi họ làm ... một cái gì đó. (Đó là "thử nghiệm" và chúng tôi không trả tiền cho nó, nhưng nó đã ổn định trong nhiều năm nên chúng tôi đã bật nó lên trên bảng.)

Chúng tôi có 150 máy chủ lưu trữ trên mạng của chúng tôi với ít nhất một tá hệ điều hành khác nhau, cộng với mạng không dây cho điện thoại và máy tính xách tay của mọi người, vì vậy, vô hiệu hóa IPv6 trên tất cả các thiết bị của chúng tôi là không bắt đầu.

Tôi muốn tránh quá nhiều hành vi IPv6 bị hỏng cổ điển với thời gian chờ lâu trước khi chuyển sang IPv4 và tôi tự hỏi cách tốt nhất để làm điều đó là gì.

  • Tôi có nên chặn các gói IPv6 gửi đi ở biên giới và trả về một tin nhắn không thể truy cập được không, hoặc sẽ khiến các máy chủ bị đánh dấu là không thể truy cập mà không rơi trở lại IPv4?
  • Việc vô hiệu hóa độ phân giải AAAA thông qua máy chủ tên BIND của chúng tôi có khả thi không (và nếu vậy, bằng cách nào), và nếu vậy, điều đó có hợp lý không?
  • Ngoài ra, sẽ tắt RADVD làm công việc? Chúng tôi sử dụng cấu hình tĩnh trên một số máy chủ của mình, nhưng có một vài trong số đó đủ để thực hiện chúng bằng tay.
networking  ipv6 
Zanchey
nguồn

Câu trả lời:

9

Tôi sẽ tắt RA và vô hiệu hóa thủ công các máy chủ được cấu hình tĩnh. Thiết lập một đường hầm là có thể là tốt, nhưng đánh số lại hai lần sẽ là công việc nhiều hơn là vô hiệu hóa tạm thời nó.

Nếu bạn quảng cáo khả năng truy cập IPv6 trong DNS (xuất bản các bản ghi AAAA) thì bạn cũng nên tạm thời xóa chúng. Đừng quên những người dùng có thể được lưu trong bộ nhớ cache để dành đủ thời gian giữa việc xóa các bản ghi AAAA và vô hiệu hóa IPv6.

Sander Steffann
nguồn
2
Đúng, chúng tôi đã thực hiện điều này khi trả lại ICMP không có thông báo tuyến đường nào khiến một số khách hàng rất khó chịu (đặc biệt là nếu nhiều bản ghi AAAA được liệt kê cho một máy chủ lưu trữ). Đáng chú ý, bạn không phải xóa địa chỉ v6 trong Linux - chỉ cần đánh dấu tất cả các địa chỉ được định tuyến toàn cầu là không dùng nữa và hầu hết khách hàng vui vẻ bỏ qua sự tồn tại của họ.
Zanchey
6

Đơn giản nhất đối với khách hàng của bạn sẽ là đi theo tuyến đường hầm ipv6. Nếu bạn có thể cập nhật định tuyến của mình để các mạng con của bạn đi qua đường hầm sẽ rất tuyệt vời, nhưng bạn có thể phải sử dụng phương pháp NAT 1: 1 với các mạng con được cung cấp cho bạn bởi nhà cung cấp đường hầm ánh xạ tới các đường hầm hiện có của bạn. Bạn sẽ định cấu hình lõi định tuyến của mình để gửi lưu lượng v6 qua các đường hầm v6 để mọi thứ dựa vào nó sẽ tiếp tục hoạt động, mặc dù có thể chậm hơn một chút so với trước nhưng ít nhất là nhanh hơn so với v4-failback. Các mạng con được gán hoàn toàn động có thể sẽ không cần NAT 1: 1, nhưng bất cứ thứ gì có gán tĩnh đều có thể sẽ có.

sysadmin1138
nguồn
1
Một gợi ý tốt cho các trang web lớn hơn, nhưng thật không may, nhà cung cấp đường hầm khả thi gần nhất cách đó nhiều mili giây và 1: 1 NAT cho IPv6 có vẻ khó khăn trên hệ thống định tuyến hiện tại của chúng tôi.
Zanchey
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.