ルータで自動IPv6ネイバーパス通知を無効にするにはどうすればよいですか?

ルータで自動IPv6ネイバーパス通知を無効にするにはどうすればよいですか?

私はインフラストラクチャIPv6をサポートするISPで働いています。私たちはすでにコアルーターのタスク設定を持っていますが、ほとんどのファイバー顧客はDebian Squeezeを実行しているルーターを使用しています。

LinuxでIPv6機能を有効にすることは問題ではありません。ただし、Linux ルーターに IPv6 アドレスと作業経路を割り当てると、Linux ルーターは作業アドレスと経路をその背後にあるすべてのシステムに即座に送信します。

現在の計画には、すべてのシステムでIPv6アドレスを手動で設定することが含まれていますが、カーネルがルーター広告を実行しないように指示するスイッチやオプションが見つからないようです。

どんな提案がありますか?

答え1

RA承認を無効にする:

sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0

または、/etc/network/interfacesにこのような内容を追加してください。

pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra

答え2

LANとWANインターフェイスの間を接続するレイヤ2のように聞こえます。この場合、ユーザーの内部トラフィックの多くはWANで終了する可能性があり、WANのすべてのルーター広告(CPE用)は実際にはLANへのブリッジです。

このような場合:

  1. ブリッジングの実行を中止すると、ユーザーのセキュリティが簡単に損なわれる可能性があります。
  2. ebtablesを使用したLANとWAN間のフィルタリング

私が本当に間違っていることを願っています...

答え3

おそらく実際に欲しいのはDHCP-PD(Prefix Delegation)です。 DHCP-PD を使用すると、IPv6 設定は IPv4 設定と似ています。

IPv4では、DHCPを使用して顧客に単一のIPv4アドレスを割り当て、次に顧客はNATを使用してネットワークにローカルIPを割り当てます(通常はDHCPを介しても可能です)。

IPv6では、DHCP-PDを使用して/ 64をクライアントに割り当て、ルータadvを使用します。この/ 64のアドレスを内部ネットワークに割り当てます。割り当てられた/ 64が変更されるたびにradvd構成を更新するスクリプトがあります。

関連情報