Engenheiro de Computação pela Universidade São Francisco USF (Itatiba SP, 2012).

Transcrição

1 Redes IP II: Técnicas de Migração de Ambientes de Redes IPv4 para IPv6 O IPv6 possui uma capacidade de endereçamentos de 128 bits contra apenas 32 bits do IPv4 (Endereço de protocolo utilizado hoje na Internet e redes particulares). Com isso, a necessidade atual e futura de endereços IPs (Internet Protocol) da internet será suprida com 56 "octilhiões" de endereços por ser humano na Terra, (considerando-se a população estimada em 6 bilhões de habitantes). Não há mais como postergar a implementação do IPv6. Por cerca de 30 anos, o protocolo IPv4 tem sido usado para prover identificações de hosts e localização das redes presentes na Internet. Quando o protocolo IPv6 foi definido em 1998, já se tinha a ideia de que seria necessário um longo período de coexistência entre as duas versões de IP na rede mundial, no qual as redes manteriam tanto o protocolo IPv4 quanto o IPv6. Com o tempo, mais e mais redes passaram a utilizar pilha dupla, pois os estoques de IPs versão 4 se esgotaram em Fevereiro de 2011 e a partir de então começaram a surgir redes puramente IPv6 que não podem se comunicar diretamente com redes somente IPv4. Sendo assim, esta série de tutoriais apresenta diversas maneiras de ambos os protocolos comunicarem entre si. A situação começará a se inverter: hoje temos um mar IPv4 e pequenas ilhas IPv6 que necessitam de técnicas de transição, como túneis ou tradução para se comunicarem. Amanhã, teremos um mar de IPv6, formado por redes de pilha dupla e somente IPv6, onde as poucas redes IPv4 que ainda não passaram a falar os dois idiomas ficarão cada vez mais isoladas. Os tutoriais foram preparados a partir da monografia Um Estudo sobre Técnicas de Migração de Ambientes Redes IPv4 para IPv6, elaborada pelo autor, e apresentada ao curso de Engenharia de Computação da Universidade São Francisco, como requisito parcial para a obtenção do título de Bacharel em Engenharia de Computação. Foi orientador do trabalho o Prof. Esp. Edval Piccolo de Matos. Este tutorial parte II apresenta os métodos e técnicas de transição de Pilha Dupla, Tunelamento e Tradução, a seguir apresenta um resumo comparativa das técnicas apresentadas, e detalha um Estudo de Caso de migração do IPv4 para o IPv6, e finaliza com as conclusões do estudo realizado. Renato Montes Canno Engenheiro de Computação pela Universidade São Francisco USF (Itatiba SP, 2012). Atuou como Analista I na Elucid Solutions S.A., executando atividades de consultoria e suporte a produto (HelpDesk, SLA) e de analista de testes e execução de query (PL\SQL). A seguir aturou como Assistente de Faturamento na Rede Energia (Empresa Elétrica Bragantina S.A. EEB), executando atividades de 1

2 refaturamento de contas de energia elétrica. Atualmente trabalha como Analista II na SondaElucid IT, executando atividades de consultoria e suporte a produto (HelpDesk, SLA)) e de analista de testes e execução de query (PL\SQL). rcanno@gmail.com Categorias: Banda Larga, Redes de Dados Wireless Nível: Introdutório Enfoque: Técnico Duração: 15 minutos Publicado em: 28/01/2013 2

3 Redes IP II: Introdução Com avanço tecnológico e o surgimento de vários aparelhos eletrônicos que possuem conexão com a internet, o fim do IP (Internet Protocol) público chegou em Fevereiro de Isto não ocorreu há tempos por que medidas paliativas surgiram ao longo da década de 1990, como as tecnologias CIDR (Classless Inter-Domain Routing), RFC1918 (Request For Comment), NAT (Network Address Translation) e DHCP (Dynamic Host Configuration Protocol) fizeram com que tardassem esse esgotamento de IP s na internet. Por esse e outros motivos que houve a necessidade do surgimento do IPng (Internet Protocol new generation) mais tarde denominado IPv6 (Internet Protocol version 6). O IPv6 possui uma capacidade de endereçamentos de 128 bits contra apenas 32 bits do IPv4 (Endereço de protocolo utilizado hoje na Internet e redes particulares) com isso a necessidade atual e futura de IP s da internet será suprida com 340 undecilhões de endereços possíveis, ou seja, 56 octilhões de endereços por ser humano na Terra. Para se ter uma ideia do que isso representa, se convertêssemos cada endereço IPv6 possível em cm², poderíamos cobrir a Terra 7 vezes [1]. São conhecido hoje três importantes métodos de migração do protocolo IPv4 para o IPv6 para redes particulares e/ou públicas. Segue abaixo os métodos e uma breve e resumida explicação de cada um deles: Tunelamento: basicamente faz a transmissões dos pacotes encapsulando o conteúdo do pacote IPv6 em um pacote IPv4. Teredo: Traduz o cabeçalhos IPv4 em cabeçalhos IPv6 e vice-versa, realizando conversões de endereços, de APIs (Application Programming Interface) de programação, ou atuando na troca de trafego TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Pilha Dupla: permite que hosts e roteadores estejam equipados com pilhas para ambos os protocolos, tendo a capacidade de enviar e receber os dois pacotes, IPv4 e IPv6. Lembrando que, para que seja possível essa transição o hardware e software devem obrigatoriamente suportar a tecnologia IPv6. Esses métodos nos dá a possibilidade de, pouco a pouco, efetuar a migração do IPv4 para o IPv6 de qualquer rede, seja um escritório, uma empresa de grande porte ou até mesmo operadoras que vendem o serviço de conexão a Internet. O IPv4 e o IPv6 não são compatíveis entre si. O IPv6 não foi projetado para ser uma extensão ou complemento do IPv4, mas sim um substituto que resolve o problema de escassez dos endereços. Embora não interromperem, ambos os protocolos podem funcionar paralelamente nos mesmos equipamentos e com isso a transição foi desenvolvida para ser implementada de forma gradual. Durante alguns anos a coexistência dos dois protocolos vai existir. Hoje existem pouquíssimas redes IPv6 e uma grande quantidade de redes IPv4, onde ambas se comunicam em geral por Pilha Dupla, mas a tendência é que mais e mais redes IPv6 surjam e façam com que as redes IPv4 sejam cada vez menores até que haja uma possível desativação. Objetivo Com o esgotamento do IPv4, a necessidade das empresas em migrar seus ambientes de rede IPv6 está cada vez mais crítica. O desenvolvimento deste projeto tem como objetivo apresentar os principais métodos de transição de redes IPv4 para IPv6. 3

4 Os procedimentos serão relatados ao longo do trabalho, com o objetivo de oferecer base de conhecimento para projetos de implementações futuras e também para aqueles que desejam migrar para o novo protocolo ou conhecer como os ambientes de rede IPv6 funcionam. Tutoriais O tutorial parte I apresentou um breve histórico do IPv4, que se confunde com o início da Internet, e do IPv6, que apareceu como solução para o esgotamento dos endereços IP, e finalizou com uma comparação entre as duas versões do Protocolo IP. Este tutorial parte II apresenta os métodos e técnicas de transição de Pilha Dupla, Tunelamento e Tradução, a seguir apresenta um resumo comparativa das técnicas apresentadas, e detalha um Estudo de Caso de migração do IPv4 para o IPv6, e finaliza com as conclusões do estudo realizado. 4

5 Redes IP II: Método de Transição de Pilha Dupla A seguir iremos explicar onde o método de transição de Pilha Dupla (Dual Stack ou DS) está empregado, as principais características, suas principais funções dentro de outros métodos de transição e quando utilizá-lo na sua rede. Coexistência de IPv4/IPv6 Por volta de trinta anos, o protocolo IPv4 tem sido usado para nossa rede de internet, empresariais e domésticas, sendo assim, em 1998 quando o protocolo IPv6 foi definido, já se tinha a ideia que seria necessário um longo período de coexistência entre as duas versão de IP na rede mundial, onde as redes manteriam em funcionamento tanto o protocolo IPv4 quanto o IPv6, como exemplificado na figura 1. Entretanto não se imaginava que esse período de transição fosse tão longo, visto que manter os dois protocolos em sua rede tem seus inconvenientes, já que duplica toda sua infraestrutura de rede [5]. Figura 1: IPv6 e IPv4 Fonte: Uma troca completa e imediata do protocolo seria inviável devido ao tamanho e à proporção da rede mundial. Por isso, o IPv6 foi projetado para ser implantado gradualmente. O período de transição e de coexistência dos dois protocolos exigiu o desenvolvimento de técnicas auxiliares. O primeiro problema que elas procuravam resolver era como conectar redes IPv6 a outras redes IPv6 por meio de equipamentos ou de uma Internet que só suportassem IPv4. Surgiram então diversos tipos de túneis IPv6 sobre IPv4 para atender tal necessidade, usando diferentes técnicas, estabelecidas manualmente ou automaticamente. Foram criadas também técnicas para permitir que redes IPv6 e IPv4 interoperassem, por meio da tradução dos pacotes [25]. Com o tempo, mais e mais redes passaram a utilizar pilha dupla, pois quando os estoques de IPs versão 4 acabarem definitivamente no Brasil, começarão a surgir redes puramente IPv6 que não poderiam se comunicar diretamente com redes somente IPv4. A situação começará a se inverter: hoje temos um mar IPv4 e pequenas ilhas IPv6 que necessitam de técnicas de transição, como túneis ou tradução para se comunicarem. Amanhã teremos um mar de IPv6, formado por redes de pilha dupla e somente IPv6, onde as poucas redes IPv4 que ainda não passaram a falar os dois idiomas ficaram cada vez mais isoladas [5]. Apesar de, num futuro próximo, ser possível ter redes totalmente IPv6, o mais comum será ter IPv4 e IPv6 5

6 na mesma infraestrutura. E, para permitir isto, são necessários ferramentas e mecanismos de coexistência e integração [36]. Pilha Dupla Transição por Pilha dupla, em sua essência, consiste na convivência do IPv4 e do IPv6 nos mesmos equipamentos, de forma nativa, simultaneamente. Essa técnica é a padrão escolhida para a transição para IPv6 na Internet e deve ser usada sempre que possível. De acordo com Santos A utilização deste método permite que hosts e roteadores estejam equipados com pilhas para ambos os protocolos, tendo a capacidade de enviar e receber os dois pacotes, IPv4 e IPv6. [27]. Elas podem ser aplicadas em sistemas de fim a fim ou em nós de rede. Nesses sistemas, elas permitem que ambas as aplicações IPv4 e IPv6 possam operar ao mesmo tempo. Para Filippetti A vantagem deste método é que novos elementos de rede já podem ser endereçados em IPv6, e os elementos já existentes podem ser migrados em fases sem grandes impactos. [31]. Pilha dupla é um método para integrar, ativamente, o IPv6 e, assim, não são necessários mecanismos reais de tradução. Na maioria das plataformas, para que um host passe a ser Pilha dupla é necessário que se habilite o IPv6 ou uma atualização de firmware (conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico), para que o IPv6 seja incorporado. Deste modo, o host passa a ter uma pilhahíbrida, com capacidades IPv4 e IPv6 completas. A introdução de pilha dupla em uma rede permite que os hosts terminais e as aplicações efetuem uma migração baseada do IPv4 para o IPv6. Foi, também, definida uma nova API com suporte de endereços e de pedidos DNS IPv4 e IPv6. Quando os dois protocolos estão disponíveis, as aplicações utilizam IPv4 ou IPv6 dependendo da resposta do servidor DNS. A aplicação, então, seleciona o endereço de destino, com base no tipo de tráfego IP e nos requisitos particulares da comunicação [29]. Os tipos de endereços são geralmente obtidos a partir de pesquisas de DNS, a pilha adequada é selecionada em resposta aos tipos de DNS e registros devolvidos. Muitos sistemas operacionais comerciais já têm pilhas de protocolo IP com pilha dupla [28] como alguns exemplos: Windows Vista, Windows XP, Windows 2000, FreeBSD (sistema operacional livre similar ao Unix descendente do AT & T UNIX via BSD UNIX), MacOS X e Linux. Assim, o mecanismo de pilha dupla é a solução de transição mais extensivamente utilizada. No entanto, o mecanismo de pilha dupla permite somente a nós semelhantes da rede se comunicarem (IPv6-IPv6 e IPv4-IPv4). Muito mais funcionalidades são necessárias para criar uma solução completa que suporta IPv6-IPv4 e IPv4-IPv6 em suas comunicações, como é visto na figura 2. 6

7 Figura 2: Arquitetura de funcionamento de Pilha Dupla Fonte: Utilizar pilha dupla pode não ser possível em todas as ocasiões. Por exemplo, quando não há mais IPv4 disponíveis e o provedor precisa atender a usuários novos com IPv6 e IPv4. Para redes corporativas que já utilizam NAT isso não é um impedimento: o IPv6 nativo pode ser utilizado em conjunto com o IPv4 compartilhado. Outra situação que dificulta a implantação do IPv6 usando pilha dupla é a existência de equipamentos que não o suportam e que não podem ser facilmente substituídos. Para contornar essas situações existem diversas técnicas disponíveis, algumas das quais serão abordadas nas próximas sessões [25]. O método pilha dupla não é livre de falhas, e possui algumas implicações nas configurações de alguns serviços de rede, que devem ser analisadas antes de sua implementação. Alguns dos serviços que precisam sofrer alterações são o DNS, o DHCP, a configuração dos protocolos de roteamento e, principalmente, regras do firewall [29]. 7

8 Redes IP II: Técnicas de Transição de Tunelamento Nesta seção iremos citar e explicar os métodos mais importantes de transição de ambientes de redes IPv4 para IPv6 de tunelamento, são eles: Tunnel Brokers, 6to4, 6rd, NAT444, ISATAP e Teredo. Tunnel Brokers Segundo a RFC 3053 os Tunnel Brokers são serviços oferecidos por provedores na Internet que se propõem a levar conectividade IPv6 aos usuários finais que possuem acesso a Internet puramente IPv4 construindo túneis até eles. Assim, qualquer usuário cadastrado poderá ter acesso ao conteúdo IPv6 através de um Tunnel Broker, desde que tenha instalado em sua máquina um cliente que permita ser autenticado e que possa enviar e receber dados através do túnel [37]. Existem três grandes serviços de Tunnel Broker com presença global pela internet. São eles: SixXS - Hurricane Electric Tunnel - Freenet6 - Seu funcionamento é bastante simples: primeiramente é necessário realizar um cadastro, normalmente via Web, em um provedor que ofereça esse serviço, chamado, neste contexto de Tunnel Broker. O provedor realizará de forma automática, ou semi automática, a configuração do seu lado do túnel e permitirá o download de instruções de um software ou script de configuração, para configurar o lado do usuário. Os Tunnel Brokers normalmente oferecem blocos fixos IPv6 que variam de /64 a /48 [38]. As figuras 09 e 10 mostram desde a solicitação de acesso para o servidor até a sua conexão completa. Figura 3: Topologia lógica do Tunnel Broker Fonte: 8

9 Figura 4: Topologia física do Tunnel Broker Fonte: Cliente pilha dupla solicita o túnel (pode ser solicitada autenticação) via IPv4 Broker cadastra usuário no Servidor de túnel Broker informa cliente parâmetros para criação do túnel Túnel estabelecido Um exemplo de configuração é a utilização de Tunnel Broker no Windows. É possível utilizá-lo em diversas versões do WIndows (2000, XP, 2008, Vista e 7) desde que o suporte IPv6 seja instalado nas versões que não o suportam nativamente. A configuração deve ser feita através do console usando um usuário com permissões administrativas. As configurações para estas versões do Windows são: Explicação das variáveis usadas: $ipv4a = IPv4 do servidor do túnel $ipv4b = IPv4 do usuário do túnel $ipv6a = rede /64 alocada ao lado do servidor do túnel $ipv6b = rede /64 alocada ao lado do usuário do túnel Windows 2000/XP: ipv6 install ipv6 rtu ::/0 2/::$ipv4a pub ipv6 adu 2/$ipv6b Windows 2008/Vista/7 Netsh interface ipv6 add v6v4tunnel interface=ip6tunnel $ipv4b $ipv4a Segundo Adilson Florentino, acessar a Internet através de um Tunnel Broker equivale a estar conectado através de uma VPN, o que torna a conexão um pouco mais lenta, que por consequência acaba perdendo o 9

10 nível de SLA (Service Level Agreement). A utilização de Tunnel Brokers é recomendada para usuários domésticos e corporativos que querem testar o IPv6, ou começar um processo de implantação em suas redes, mas cujos provedores de acesso à internet ainda não oferecem suporte ao novo protocolo. Túneis 6to4, 6rd, NAT444, ISATAP e Teredo Chamados de Túneis Automáticos ou Túneis Dinâmicos, estes túneis permitem que um roteador ou host da rede local tenham conectividade IPv6 usada em diferentes cenários. Túneis 6to4 O 6to4 (RFC 3056) é umas das técnicas de transição mais antigas em uso e é a técnica que inspirou a criação do 6rd. Sua concepção era simples e muito interessante: com ajuda de relays pilha dupla distribuídos na Internet, abertos, instalado de forma colaborativa por diversas redes, qualquer rede IPv4 poderia obter conectividade IPv6, através de túneis 6to4 automáticos [9]. O 6to4 é composto dos seguintes elementos: Relay 6to4: roteador com suporte ao 6to4 e que possui conexão nativa IPv4 e IPv6. Ele funciona como a extremidade dos túneis automáticos para os Roteadores 6to4 que precisam se comunicar com a Internet IPv6. Roteador 6to4: roteador que suporta 6to4 que fica na extremidade de uma rede IPv4 e é responsável por trazer conectividade IPv6 para esta rede, por meio dos túneis 6to4. No caso dos acessos à Internet IPv6, ele direcionará o tráfego até o Relay Router mais próximo, que encaminhará o pacote ao seu destino. Para acesso a outras redes 6to4, os túneis são fechados diretamente com outros Roteadores 6to4. Cliente 6to4: equipamento de rede ou computador que usa endereços IPv6 fornecidos pelo túnel 6to4. O cliente 6to4 é um cliente pilha dupla convencional, normalmente numa rede doméstica ou corporativa, que pode usar IPv4 nativo ou compartilhado. O cliente não diferencia um endereço IPv6 obtido via 6to4, de um endereço IPv6 nativo [38]. A figura 5 abaixo mostra o fluxo dos pacotes em uma rede 6to4. É interessante notar que os pacotes nem sempre vão por uma determinada rota e voltam pelo mesmo relay 6to4. As etapas 1, 3, 4 e 6 utilizam pacotes IPv6 e as etapas 2 e 5 utilizam pacotes IPv6 encapsulados em IPv4. Figura 5: Topologia e funcionamento do túnel 6to4 10

11 Fonte: De acordo com a figura, o pacote é enviado através da rede local IPv6 para o roteador R1; O pacote IPv6 é recebido por R1 através da interface LAN, que verifica sua tabela de roteamento e descobre que deve enviar o pacote para a interface virtual 6to4 (rota para a rede 2002::/16). Nesta interface o pacote IPv6 é encapsulado em um pacote IPv4 (protocolo tipo 41) e enviado ao Relay RL1 ou RL2 (O Relay 6to4 pode ser definido manualmente no roteador 6to4 ou então automaticamente através da utilização do endereço anycast ). RL1 recebe o pacote 6to4 através de sua interface IPv4, vê que o pacote utiliza o protocolo 41 e o encaminha para a interface virtual. Esta desencapsula o pacote IPv6 e verifica na sua tabela de roteamento que deve enviá-lo pela interface LAN através do roteador R3, que simplesmente repassa o pacote IPv6 ao servidor S2; S2 responde com o envio de outro pacote IPv6 com destino ao Cliente C2 utilizando a sua rota padrão, que aponta para o roteador R3. R3 recebe o pacote e, através da rota recebida via BGP, sabe que deve enviá-lo para o relay mais próximo, que é RL2; RL2 recebe o pacote IPv6 e verifica que o destino é a rede 6to4 (2002::/16). Deste modo, de acordo com sua tabela de roteamento, ele encaminha o pacote para a interface virtual 6to4, que o empacota em um pacote IPv4 (protocolo 41) e o envia ao endereço IPv4 implícito no endereço IPv6 do destinatário do pacote; O roteador R1 recebe o pacote através de seu endereço IPv4, verifica que o pacote está utilizando o protocolo 41 e o encaminha à interface virtual 6to4. Esta o desencapsula e verifica o endereço de destino. De acordo com sua tabela de roteamento e o endereço de destino, o pacote IPv6 é enviado através da sua interface LAN para o Cliente 6to4 C2. As funções de Roteador e Cliente 6to4 podem estar presentes no mesmo equipamento. Um desktop convencional, por exemplo, usando Windows Vista, atua de forma automática como Roteador 6to4, desde que tenha um endereço IPv4 válido disponível. O endereçamento 6to4, conforme definição da IANA, utiliza o prefixo de endereço global 2002:wwxx:yyzz::/48, onde wwxx:yyzz é o endereço IPv4 público do cliente convertido para hexadecimal. O exemplo a seguir mostra como fazer a conversão de endereços: Endereço IPv4: =C8 192=C0 180=B4 002=02 Com isso, o bloco IPv6 correspondente, via 6to4, é 2002:C8C0:B402::/48. As grandes desvantagens do 6to4 residem no fato de que os Relays públicos estão sujeitos a ataques de negação de serviço e spoofing (ataque que consiste em mascarar spoof pacotes IP utilizando endereços de remetentes falsificados), além de trabalhar com roteamento assimétrico (os pacotes irem para o destino por uma rota e voltar por outra rota bem mais distante). Somando a isto, estamos lidando com relays não privados, ou seja, não tendo o controle sob os mesmos, sujeitando então a vários tipos de problemas como: segurança e garantia de um bom serviço, entre outros [5]. 11

12 IPv6 Rapid Deploymant 6rd O 6rd (RFC5569) é uma extensão da técnica 6to4 (que foi explicada no item anterior), que está em desuso. O 6rd resolve algumas das limitações técnicas do 6to4, como por exemplo, sua assimetria e a falta de controle sobre os relays públicos utilizados, permitindo sua utilização em larga escala [40]. Analisando a figura, é possível notar que o 6rd depende basicamente de dois componentes: CPE 6rd: instalado como interface entre a rede da operadora e do usuário; Relay 6rd: instalado na interface entre a rede IPv4 da operadora e a Internet IPv6. O 6rd é um CPE tradicional (xdsl modem, cable modem e 3G modem), cujo software foi modificado para permitir o uso do 6rd. A necessidade dessa modificação dificulta a implementação da técnica, uma vez que requer a substituição, lógica ou física, de equipamentos em campo. Tal modificação nos CPEs normalmente é viável nos casos em que o provedor gerencia remotamente o equipamento, sendo capaz de fazer upgrades em seu firmware [38]. Figura 6: Topologia de rede 6rd Fonte: Conforme Adilson Florentino, o 6rd resolve o problema da implementação rápida do IPv6 na internet, mas o problema principal que fez com que existisse esse novo protocolo (o esgotamento do IPv4) continua, visto que é preciso um endereço IPv4 e um IPv6 válido em cada cliente. NAT 444 Este mecanismo atribui um IPv4 privado para cada um dos usuários de um ISP, de forma semelhante ao que já é normalmente feito em redes domésticas e em diversas redes corporativas. Ou seja, os usuários conviverão, nesse caso, com duas camadas de NAT. A figura abaixo explica como o NAT444 ocorre. 12

13 Figura 7: NAT444 Fonte: Fast Lane - US O Nat444 alivia o problema de escassez do IPv4, mas por outro lado acarreta uma séries de problemas: Quebra do modelo fim-afim da Internet Dificulta o funcionamento de uma série de aplicativos Não é escalonável Aumenta o processamento no dispositivo tradutor Proporciona uma falsa sensação de segurança Impossibilita o rastreio do caminho dos pacotes ISATAP Intra-Site Automatic Tunnel Adressing Protocol A ISATAP é uma técnica de tunelamento que liga dois hosts distintos a roteadores como mostra a figura 8. Sua utilização ocorre dentro das organizações, pois não há um serviço público de ISATAP. É possível utilizar a técnica quando a organização tem IPv6 na extremidade de sua rede, fornecido por seu provedor, mas sua infraestrutura interna, ou parte dela, não suporta o protocolo [5]. 13

14 Figura 8: Topologia de rede ISATAP Fonte: A configuração dos túneis ISATAP em roteadores Cisco é bem semelhante à configuração do 6to4 informada anteriormente. Segue o mapeamento dos endereços usados no ISATAP apresentado na figura 9. Figura 9: Tradução de endereço IPv4 para IPv6 no ISATAP Fonte: Prefixo unicast: É qualquer prefixo unicast válido em IPv6, que pode ser link-local (FE80::/64) ou global. Normalmente utiliza-se uma rede /64 obtida a partir do prefixo global fornecido pelo provedor de Internet para uso na rede. ID IPv4 público ou privado: Se o endereço IPv4 for público, este campo deve ter o valor 200. Se for privado ( /16, /12 e /8), o valor do campo será zero; ID ISATAP: Sempre tem o valor 5EFE; Endereço IPv4: É o IPv4 do cliente ou roteador em formato IPv4;[38]. O ISATAP é suportado pela maior parte dos sistemas operacionais e roteadores e de fácil implantação. É utilizado em sua grande maioria em organizações que possuem trânsito IPv6, mas que tem partes de sua infra estrutura em IPv4 (Pilha Dupla). Teredo Na lacuna deixada pelo tunelamento 6to4 e pelo túnel Broker tem-se essa nova tecnologia de túnel, chamado Teredo, que funciona através do protocolo UDP e permite o seu funcionamento através de NAT e sem autenticação. Essa técnica não é eficiente, pois sua complexidade exige muito processamento, mas, é uma das únicas formas de conexão para clientes que estão atrás de NAT, seja ele do tipo Cone Full ou Cone restrito (não funciona através de NAT do tipo Simétrico) e desejam se conectar a Internet IPv6 independente do administrador de Rede e sem autenticação com um túnel Broker [29]. 14

15 Sua utilização não é recomendada, dado que não é muito eficiente, tem alta taxa de falhas e algumas considerações de segurança. Contudo, é importante conhecê-la bem, já que está implementada e é utilizada de forma automática em algumas versões do Windows. Por padrão, os Windows 7 e Vista já trazem o Teredo instalado e ativado por padrão, enquanto que no Windows XP, 2003 e 2008, ele vem apenas instalado [38]. Teredo é a tecnologia de transição do Protocolo da Internet (IPv6) que permite que o tráfego IPv6 atravesse um NAT (Tradutor de Endereços de Rede). Os NATs são de uma forma geral utilizados para compartilhar uma conexão da Internet com múltiplos computadores em uma rede pequena/doméstica (SOHO). Devido à forma como o Teredo e os NATs estão disponíveis em vários fornecedores, o Teredo pode não funcionar adequadamente através de todos os NATs [41]. Os Servidores Teredo utilizam a porta UDP 3544 para comunicar-se com os dispositivos. Bloquear pacotes IPv4 enviados de uma rede para a Internet nessa porta e na direção inversa, é uma forma efetiva para evitar a utilização indesejada, muitas vezes involuntária, desse tipo de túneis. Existem dois elementos importantes no Teredo: o Servidor Teredo e o Relay Teredo. A conexão é realizada através de um Servidor Teredo, que a inicia após determinar o tipo de NAT usado na rede do cliente. Em seguida, caso o nó destino possua IPv6 nativo, um Relay Teredo é utilizado para criar uma interface entre o cliente e o nó destino. O Relay utilizado será sempre o que estiver mais próximo do nó destino e não o mais próximo do cliente [38]. A figura a seguir representa o estabelecimento do túnel Teredo na situação mais complexa possível, quando o cliente está em uma rede com NAT. Note que no estabelecimento do túnel, os primeiros pacotes fluem através do Servidor Teredo. Uma vez estabelecido o túnel, toda a comunicação é feita através do Relay, bidirecionalmente [38]. Figura 10: Estabelecimento de túnel Teredo Fonte: Assim como o 6to4, o Teredo é muito falho no quesito de segurança. Através do encapsulamento ele pode permitir que tráfego que seria bloqueado em IPv4 consiga chegar ao destino. É importante notar que o Teredo vem instalado e habilitado por padrão no Microsoft Windows. Recomenda-se que seja desabilitado em redes corporativas. 15

16 Redes IP II: Tradução Ao contrário dos métodos discutidos acima de tunelamento, o método de tradução oferece uma maneira de traduzir IPv6 para o tráfego IPv4 e vice-versa. Quando se utiliza a tradução, o tráfego não é encapsulado, mas é convertido para o tipo de destino (que é IPv4 ou IPv6).Existem dois métodos que são normalmente usados com redes IPv6 traduzidas, que incluem [42]: Network Address Translation - Protocol Translation (NAT-PT) é um mecanismo que permite a comunicação de hosts IPv6 com hosts IPv4, que combina métodos de tradução de cabeçalho e conversão de endereço (RFC 2766, 2000). O funcionamento do NATPT/NAPT-PT acontece da seguinte forma: Um host IPv6 envia um pacote ao gateway NAT-PT/NAPT-PT, que mapeia o endereço do host para um endereço IPv4 público, traduzindo o protocolo IPv6 para IPv4, e envia o pacote ao host IPv4 de destino. Ao enviar o pacote ao gateway, o host IPv6 vai adicionar um prefixo pré-configurado ::/96 ao endereço IPv4 do destino, tendo em vista que o gateway só aceita pacotes identificados com esse prefixo. A partir desse endereço, será obtido o endereço real do destino, eliminando o prefixo IPv6 de identificação. Em sua configuração padrão, o NAT-PT é unidirecional, ou seja, apenas hosts IPv6 podem iniciar a sessão. No entanto, é possível torná-lo bidirecional, desenvolvendo um gateway DNS-Application Level Gateway (DNS-ALG) (RFC 2766, 2000) [29]. Figura 11: NAT-PT (Unidirecional) Fonte: NAT64/DNS64 - Com NAT64 também veio DNS64, ambos configurados e implementados separadamente, quando estes foram definidos e aceitos do uso de NAT-PT foi depreciada. NAT64 oferece uma opção de stateful (Permite a comunicação entre hosts com suporte apenas ao IPv6 ou com os hosts que apresentam suporte apenas ao IPv4) [42]. Quando uma máquina somente IPv6 tenta acessar uma rede IPv4 por uma pesquisa de DNS em um registro AAAA, o DNS64 responde à solicitação mascarando o prefixo IPv4 com um prefixo qualquer. O host IPv6 envia o pacote para o host IPv4, que por sua vez é traduzido pelo NAT64. Na figura 12 a técnica de tradução em NAT64/DNS64 é visualizada com detalhes. 16

17 Figura 12: Topologia de rede do NAT64 / DNS64 Fonte: Host 1 pergunta AAAA de Host2? DNS64 converte A para AAAA, com prefixo combinado e responde Ex: 2001:db8:4:: Host1 envia pacotes para v6-host2 Ex: 2001:db8:1:: à 2001:db8:4:: NAT64 converte v6-host2 em v4-host2 Ex: à O único problema desse tipo de tradução é a incompatibilidade de alguns aplicativos com esse tipo de NAT. Para serviços como e navegação HTTP não há grandes problemas, mas para soluções que envolvam balanceamento de carga ou algo do gênero, pode acarretar problemas [5]. É muito importante informar que parte do processo completo das técnicas de transição de tunelamento como: 6rd, Teredo, ISATAP entre outras, também está presente a técnica de tradução em seus pacotes. 17

18 Redes IP II: Resumo das Técnicas de Transição A principal pergunta é: Qual técnica utilizar e onde? Nesta seção possivelmente essa pergunta será respondida, pois resume bem as seções anteriores. Pilha dupla: Melhor solução em todos os casos. Só utilize uma técnica de transição quando nenhuma operadora forneça o IPv6 nativo. Tunnel Brokers: Ideal para profissionais de TI que queiram ter contato com IPv6 mas que ainda não possuem conectividade nativa do novo protocolo. Não é indicada para oferecer serviços ao usuário final devido sua alta latência. 6to4: Indicado para empresas que ainda não tem IPv6 nativo nem blocos IPv6 próprios, mas que querem acessar a Internet em pilha IPv6 para adquirir experiência com o novo protocolo. 6rd: Para operadoras que possuem a gerência dos CPEs dos clientes querem oferecer conectividade IPv6 rapidamente a seus usuários. NAT444: Solução que operadoras adotam para retardar a adoção do IPv6. ISATAP: Para empresas que já possuem conectividade IPv6 na borda de sua rede, mas que possuem parte de sua infraestrutura apenas em IPv4 e desejam fazer túneis internos para conexão entre ilhas IPv6 através de Iv4 Teredo: Para usuários finais que queiram ter acesso ao IPv6 via túnel automaticamente, sem a necessidade de configuração adicional, também sujeito a problemas de desempenho. Tradução: Utilizada em parte de outras técnicas, com o principal objetivo de traduzir os pacotes dos protocolos IPv4 em IPv6 e vice-versa. Tabela 1: Vantagem e Desvantagem das técnicas de migração 18

19 TÉCNICAS VANTAGEM DESVANTAGEM Pilha Dupla Tunnel Brokers 6to4 6rd NAT444 ISATAP Teredo NAT-PT NAT64/DNS64 Utiliza técnicas stateless baseadas em uma dupla tradução de pacotes Baixa complexidade de funcionamento Cria túneis automaticamente para outros endereços 6to4. Rápida adoção do IPv6 para usuários domésticos Não e necessário conhecimento em IPv6 Suporta a maior parte dos sistemas operacionais e roteadores e de fácil implantação Fácil implementação para usuários domésticos, devido a configuração automática. Tem uma eficiência mais elevada do que as técnicas utilizadas na camada de aplicação. Infraestrutura de IPv4 permanece inalterado Fonte: Autor Cada Host precisa ter as duas pilhas rodando separadamente, o que demanda o poder de processamento adicional e memória. Alta latência Segurança, sendo vulneráveis a ataques do tipo Man-in-the-Middle e DoS. Deve sempre existir um protocolo IPv4 público operando em paralelo para seu funcionamento Quebra do modelo fim-a-fim da Internet Não provê nenhuma economia de endereços IPv4, pois todos os hosts envolvidos na comunicação precisam de um endereço IPv4 público. Segurança por utilizar o protocolo UDP É muito complicado para criar entradas estáticas para múltiplas fontes de comunicação com vários destinos. Incompatibilidade com balanceamento de carga em servidores ou algo do gênero. 19

20 Redes IP II: Estudo de Caso IPv6: Visão geral da Infraestrutura de Rede no Cisco Live Londres 2012 O Cisco Live é um evento anual que tem como seu objetivo principal apresentar os seguintes itens: educação técnica, tecnologia de avaliação, redes e liderança de pensamento, destinada aos Engenheiros de redes e sistemas, provedores e gerentes, diretores e arquitetos de TI. A estrutura da feira foi constituída de 2 switches de acesso Catalyst 6500 e 15 Catalyst 3750-X sendo espalhados conforme necessidade de acesso como mostra a figura 13. Foram quase 200 pontos com fio e mais de 130 pontos de acesso sem fio que constituíam a camada de acesso. Figura 13: Estrutura Cisco Live 2012 Fonte: Cisco Mais de 8500 clientes foram ligados à rede. Um fato muito interessante foi a descoberta de que, para a maioria dos utilizadores da rede, a operação de IPv6 foi totalmente transparente. Os dispositivos dos usuários foram configurados de forma autônoma com dual stack, cerca de 75% dos dispositivos dos usuários tiveram o IPv6 ativado, enquanto apenas cerca de 20% dos usuários relataram a sensibilização da presença de uma pilha IPv6 nos seus dispositivos. Endereçamento IPv4 O esquema de endereçamento IPv4 foi projetado em torno dos requisitos para um evento de grande proporção, ou seja, um bloco de endereço padrão privado ( / 8), e depois ainda mais dividido para refletir a topologia da rede, e assim, facilitando a solução de problemas. Isto resultou em uma 10.XYH/24, onde X representa a VLAN, Y o interruptor de distribuição, e o último octeto H foi designado para o hospedeiro. A única exceção a essa regra foi para as VLANs dedicadas ao domínio sem fio, sendo 20

21 apresentado dessa forma, 10.XHH/16, dando as VLANs os cinco combinados sem fio e a capacidade de suportar em teoria os 300k nos dispositivos finais. Endereçamento IPv6 Haviam duas decisões de design mais importantes que regiam a atribuição de endereços IPv6: Transparência global, reutilizando o prefixo atribuído ao túnel 6to4 pela British Telecom. A capacidade de facilmente obter o endereço IPv6 a partir do endereço IPv4, e vice-versa. Embora esta exigência poderia resultar em uma boa utilização do espaço de endereços, a facilidade do uso representou uma grande vantagem operacional em um evento como o Cisco Live. O espaço de endereço IPv6 foi estruturado no seguinte formato (hex) 2A00: 2000:4004: XXYY: H/64: Os três primeiros 16-bits do endereço (2A00: 2000:4004) representam o prefixo atribuído pela British Telecom. xxyy ficou no endereçamento IPv4, no espaço para a VLAN (XX) e no interruptor de distribuição (AA). Note que a conversão hex precisou acontecer para a tradução entre endereços IPv4 e IPv6, o que significa que, por exemplo, um IPv4 VLAN-ID de 64 resultaria em um IPv6 VLAN-ID de 40. A parte do host de 64 bits do endereço era de auto atribuição através do SLAAC (Stateless Address Autoconfiguration), dependendo dos requisitos do dispositivo suportado. Uma das razões na qual a experiência pode ter sido tão transparente para usuários se deve ao fato do desempenho do IPv6. Diferenças entre IPv4 e IPv6 na internet eram insignificantes; apesar do preconceito muitas vezes, no tráfego IPv6 não ocorriam atrasos significativos. Com um efeito negativo para o IPv4, mas positivo para o IPv6, a falta de endereços por causa da má configuração inicial do NAT, impactou no protocolo IPv4 devido ao espaço de endereçamento ter esgotado no primeiro dia do evento, os utilizadores do IPv6 permaneceram inalterados e foram capazes de acessar a Internet. A grande implantação e altamente bem sucedida do IPv6 durante Cisco Live Londres 2012 serviu para enfatizar que o IPv6 se tornou uma tecnologia madura para ser implantada em ambientes corporativos. Nesta fase, as empresas devem começar a implementar sua estratégia de IPv6. 21

22 Redes IP II: Estudo de Caso IPv6: Visão geral da Infraestrutura de Rede no Cisco Live Londres 2012 O Cisco Live é um evento anual que tem como seu objetivo principal apresentar os seguintes itens: educação técnica, tecnologia de avaliação, redes e liderança de pensamento, destinada aos Engenheiros de redes e sistemas, provedores e gerentes, diretores e arquitetos de TI. A estrutura da feira foi constituída de 2 switches de acesso Catalyst 6500 e 15 Catalyst 3750-X sendo espalhados conforme necessidade de acesso como mostra a figura 13. Foram quase 200 pontos com fio e mais de 130 pontos de acesso sem fio que constituíam a camada de acesso. Figura 13: Estrutura Cisco Live 2012 Fonte: Cisco Mais de 8500 clientes foram ligados à rede. Um fato muito interessante foi a descoberta de que, para a maioria dos utilizadores da rede, a operação de IPv6 foi totalmente transparente. Os dispositivos dos usuários foram configurados de forma autônoma com dual stack, cerca de 75% dos dispositivos dos usuários tiveram o IPv6 ativado, enquanto apenas cerca de 20% dos usuários relataram a sensibilização da presença de uma pilha IPv6 nos seus dispositivos. Endereçamento IPv4 O esquema de endereçamento IPv4 foi projetado em torno dos requisitos para um evento de grande proporção, ou seja, um bloco de endereço padrão privado ( / 8), e depois ainda mais dividido para refletir a topologia da rede, e assim, facilitando a solução de problemas. Isto resultou em uma 10.XYH/24, onde X representa a VLAN, Y o interruptor de distribuição, e o último octeto H foi designado para o hospedeiro. A única exceção a essa regra foi para as VLANs dedicadas ao domínio sem fio, sendo 22

23 apresentado dessa forma, 10.XHH/16, dando as VLANs os cinco combinados sem fio e a capacidade de suportar em teoria os 300k nos dispositivos finais. Endereçamento IPv6 Haviam duas decisões de design mais importantes que regiam a atribuição de endereços IPv6: Transparência global, reutilizando o prefixo atribuído ao túnel 6to4 pela British Telecom. A capacidade de facilmente obter o endereço IPv6 a partir do endereço IPv4, e vice-versa. Embora esta exigência poderia resultar em uma boa utilização do espaço de endereços, a facilidade do uso representou uma grande vantagem operacional em um evento como o Cisco Live. O espaço de endereço IPv6 foi estruturado no seguinte formato (hex) 2A00: 2000:4004: XXYY: H/64: Os três primeiros 16-bits do endereço (2A00: 2000:4004) representam o prefixo atribuído pela British Telecom. xxyy ficou no endereçamento IPv4, no espaço para a VLAN (XX) e no interruptor de distribuição (AA). Note que a conversão hex precisou acontecer para a tradução entre endereços IPv4 e IPv6, o que significa que, por exemplo, um IPv4 VLAN-ID de 64 resultaria em um IPv6 VLAN-ID de 40. A parte do host de 64 bits do endereço era de auto atribuição através do SLAAC (Stateless Address Autoconfiguration), dependendo dos requisitos do dispositivo suportado. Uma das razões na qual a experiência pode ter sido tão transparente para usuários se deve ao fato do desempenho do IPv6. Diferenças entre IPv4 e IPv6 na internet eram insignificantes; apesar do preconceito muitas vezes, no tráfego IPv6 não ocorriam atrasos significativos. Com um efeito negativo para o IPv4, mas positivo para o IPv6, a falta de endereços por causa da má configuração inicial do NAT, impactou no protocolo IPv4 devido ao espaço de endereçamento ter esgotado no primeiro dia do evento, os utilizadores do IPv6 permaneceram inalterados e foram capazes de acessar a Internet. A grande implantação e altamente bem sucedida do IPv6 durante Cisco Live Londres 2012 serviu para enfatizar que o IPv6 se tornou uma tecnologia madura para ser implantada em ambientes corporativos. Nesta fase, as empresas devem começar a implementar sua estratégia de IPv6. 23

24 Redes IP II: Teste seu entendimento 1. No contexto deste tutorial, qual é a técnica padrão escolhida para a transição do IPv4 para o IPv6 na Internet? Tunnel Brokers. Pilha dupla. NAT444. Teredo. 2. Qual das alternativas abaixo apresenta um dos grandes serviços de Tunnel Broker com presença global na Internet? SixXS - Hurricane Electric Tunnel - Freenet6 - Todas as alternativas anteriores. 3. Quais foram as duas decisões de design mais importantes para a atribuição de endereços IPv6 durante a realização do Cisco Live, evento do estudo de caso apresentado neste tutorial? Transparência Global reutilizando o prefixo do túnel 6to4, e facilidade de obtenção do endereço IPv6 a partir do IPv4, e vice-versa. Transparência Global reutilizando o prefixo do túnel 6rf, e facilidade de obtenção do endereço IPv6 a partir do IPv4, e vice-versa. Transparência Global reutilizando o prefixo do túnel 6to4, e exclusão da obtenção do endereço IPv6 a partir do IPv4, e vice-versa. Transparência Local reutilizando o prefixo do túnel 6to4, e facilidade de obtenção do endereço IPv6 a partir do IPv4, e vice-versa. 24