I pv4para ipv6-final

INSTITUTO DE EDUCAÇÃO SUPERIOR DE BRASÍLIA
CURSO DE ENGENHARIA ELÉTRICA

MELHORES PRÁTICAS DE MIGRAÇÃO DE UMA REDE
IPv4 PARA IPv6

Alexandre José Camilo Gomes
Carlos Botelho da Trindade

MAIO DE 2009

ii

INSTITUTO DE EDUCAÇÃO SUPERIOR DE BRASÍLIA
CURSO DE ENGENHARIA ELÉTRICA

IPv4 PARA IPv6


Trabalho de Graduação apresentada ao Curso
de Engenharia Elétrica com ênfase em
Telecomunicações do Instituto de Educação
Superior de Brasília como requisito parcial à
obtenção do título de Engenheiro Elétrico.

Orientador: Eduardo Wolski.

MAIO DE 2009

iii


IPv4 PARA IPv6

Banca Examinadora:

__________________________________________________________
Prof.
__________________________________________________________
Prof.
__________________________________________________________
Prof.

iv

Dedico esta monografia à minha esposa Manoela e
minha filha Nathália, que abriram mão de uma
grande parcela de nosso convívio familiar e que não
mediram esforços para me apoiar; amo vocês !

aos meus pais, Eloizo e Helenice, pela fé e
confiança demonstrada, sempre investindo em mim
e no meu futuro;

ao meu amigo Saulo pelo apoio incondicional em
todas as minhas decisões tanto nas acertadas como
nas erradas;

e a todos os familiares e amigos que permitiram e
incentivaram esse passo a ser dado.

Alexandre Gomes

Agradeço e dedico à conquista de mais um passo
na vida, à minha esposa Lísian, que suportou
pacientemente minha ausência e incentivou-me a
persistir em busca do meu objetivo;

à minha mãe Eloíza que sempre esteve ao meu
lado;

ao meu saudoso Pai Carlos Luiz, que foi
fundamental para que pudesse chegar onde
cheguei;

ao meu irmão Rangel, que me apoiou nos
momentos difíceis;

aos meus amigos e companheiros, os meus
agradecimentos pela amizade e por tudo que
convivemos.
Carlos Botelho

v

Agradecemos ao nosso orientador Eduardo Wolski,
pela paciência, didática e principalmente pelo
compromisso de estar sempre à disposição e
presente em nossa orientação.

Alexandre Gomes e Carlos Botelho

vi

RESUMO

Com o crescimento de aplicações como Ponto a Ponto e vídeo-
conferência, e com a necessidade de computadores sempre conectados e
disponíveis, o novo protocolo IPv6 fará a substituição gradual do atual IPv4
que, num futuro próximo, se tornará inviável por escassez de endereços. Este
documento tem como finalidade servir de referência ao processo de migração
da tecnologia IPv4 para IPv6 de uma rede local gerenciada, de tamanho médio
ou grande, e problemas relacionados à mesma. É, portanto, um documento
para subsidiar as ações de um administrador de rede. O protocolo IPv6 não só
aumenta a quantidade de endereços como também possui diversos benefícios
sobre o IPv4, sendo esses descritos neste documento.
A abordagem adotada neste trabalho trata, especificamente, da
implantação de IPV6 em uma rede com serviços comumente utilizados,
mostrando, de forma prática e por meio de análises, a migração a partir de uma
rede IPv4.

vii

ABSTRACT

This document aims to be a practical migration reference to the IPv6
protocol suite and its issues. With the increase of the Internet, the growing of
P2P applications, video conferences and always-on computers, the standard
IPv4 will not support all needed addresses soon. IPv6 was designed to solve
this and other IPv4 issues as well as bringing new features.
This document shows a practical implementation in a managed local
network and its services, describing the migration from IPv4 and making the
analysis of this implementation.

viii

LISTA DE FIGURAS
Figura 2.1 – Retirada de campos cabeçalho IPv4 ............................................................. 7
Figura 2.2 – Cabeçalho IPv6 ............................................................................................ 8
Figura 2.3 – Utilização ilustrativa do IPSec ..................................................................... 8
Figura 2.4 – Rede com endereçamento Anycast ............................................................ 11
Figura 2.5 – Cabeçalho IPv6 e IPv4 ............................................................................... 13
Figura 2.6 – Cabeçalho de expansão IPv6 e IPv4 .......................................................... 14
Figura 2.7 – Cabeçalho de extensão IPv6....................................................................... 14
Figura 2.8 – Campos do pacote ICMPv6 ....................................................................... 15
Figura 2.10 – Exemplo de vídeo conferência ................................................................. 21
Figura 2.11 – Cabeçalho IPv4 e IPv6 - apresentação QoS ............................................. 23
Figura 2.11 – Cabeçalho AH e ESP ............................................................................... 26
Figura 3.1 – Coexistência - IPv6 e IPv4 ......................................................................... 30
Figura 3.2 – Tráfego de pacotes com a arquitetura de pilha dupla................................. 31
Figura 3.3 – Configuração Host a Host .......................................................................... 33
Figura 3.4 – Configuração Host a Roteador ................................................................... 34
Figura 3.5 – Configuração Roteador a Roteador ............................................................ 34
Figura 3.6 – Pilha Dupla IPv6 encapsulado IPv4 ........................................................... 35
Figura 3.8 – Estrutura de pacote ISATAP ...................................................................... 36
Figura 3.9 – Topologia utilizando túnel ISATAP .......................................................... 36
Figura 3.10 – Inicialização do ISATAP ......................................................................... 38
Figura 3.11 – Comunicação entre máquinas com ISATAP configurada no mesmo
segmento de rede. ........................................................................................................... 39
Figura 3.12 – Comunicação entre máquinas com ISATAP configurada em diferentes
segmentos de rede. .......................................................................................................... 39
Figura 3.13 – Comunicação entre máquinas com ISATAP – diferentes segmentos de
rede IPv6 ......................................................................................................................... 40
Figura 3.14 – Estrutura do endereço do túnel 6to4 ........................................................ 42
Figura 3.15 – Estrutura da conexão 6to4 ........................................................................ 43
Figura 3.16 – Comunicação do túnel 6to4...................................................................... 45
Figura 3.17 – Comunicação relay/roteador 6to4 com servidor IPv6 ............................. 47
Figura 3.18 – Comunicação túnel Broker....................................................................... 51
Figura 3.19 – Inicialização do túnel Broker ................................................................... 52
Figura 3.21 – Configuração Teredo ................................................................................ 57
Figura 3.22 – Conexão Teredo com NAT do tipo restrito ............................................. 60
Figura 3.23 – Logo Silver Fase I .................................................................................... 68
Figura 3.24 – Logo Gold Fase 2 ..................................................................................... 69
Figura 4.1 – Ambiente de Laboratório. .......................................................................... 72
Figura 4.2 – Cenário 0 – Rede Interna e operadora IPv4 - túnel Broker IPv6 ............... 74
Figura 4.3 – Cenário 1 – Rede Interna IPv4 e operadora IPv4 e IPv6 (dual-stack) ....... 75
Figura 4.4 – Cenário 2 – Rede Interna IPv4 e operadora IPv6 ....................................... 75
Figura 4.5 – Cenário 3 – Rede Interna IPv4 e IPv6 (dual-stack) e operadora IPv4 ....... 76
Figura 4.6 – Cenário 4 – Rede Interna e operadora IPv4 e IPv6 (dual-stack) ................ 77
Figura 4.7 – Cenário 5 – Rede Interna IPv4 e IPv6 (dual-stack) e operadora IPv6 ....... 77
Figura 4.8 – Cenário 6 – Rede Interna IPv6 e operadora IPv4 ....................................... 78
Figura 4.9– Cenário 7 – Rede Interna IPv6 e operadora IPv4 e IPv6 (dual-stack) ........ 79
Figura 4.10 – Cenário 8 – Rede Interna e operadora IPv6 ............................................. 79
Figura 4.11 – Roteador de borda ................................................................................... 82
Figura 4.12 – Configuração UDHCP ............................................................................ 85

ix

Figura 4.13 – Configuração Gateway6 .......................................................................... 85
Figura 4.14 – Configuração RADVd ............................................................................. 87
Figura 4.15 – Indicação do pacote RA – desabilitado ................................................... 88
Figura 4.16 – Indicação do pacote RA – habilitado ...................................................... 88
Figura 4.17 – Inicialização do túnel Broker .................................................................. 89
Figura 4.18 – Configuração da interface Eth0 – rede WAN ......................................... 89
Figura 4.19 – Configuração da interface eth1 ............................................................... 90
Figura 4.20 – Configuração da interface SIT1 .............................................................. 91
Figura 4.21 – Configuração da interface Loopback ...................................................... 91
Figura 4.22 – Teste de ping versão 6 ............................................................................. 91
Figura 4.23 – Tabela de roteamento do servidor – IPv4 ............................................... 92
Figura 4.24 – Roteamento default Eth0 ......................................................................... 92
Figura 4.25 – Roteamento – comando routel ................................................................ 92
Figura 4.26 – Arquivo de log do named ........................................................................ 94
Figura 4.27 – Campos configurados no dhcp6s ............................................................ 95
Figura 4.28 – Diretório do shorewall ............................................................................ 96
Figura 4.29 – Associação de zonas................................................................................. 96
Figura 4.30 – Configuração de tráfegos ......................................................................... 97
Figura 4.32 – Tipo de zonas ........................................................................................... 97
Figura 5.1 – Topologia – Transferência de arquivos – Cabo ......................................... 99
Figura 5.2 – Transferência de arquivo – comparação IPv4 x IPv6 – Via Cabo ........... 100
Figura 5.3 – Topologia – Transferência de arquivos - Wireless .................................. 101
Figura 5.4 – Transferência de arquivo – comparação IPv4 x IPv6 – Wireless ............ 102
Figura 5.5 – Hops para alcance do Freenet6 ................................................................ 103
Figura 5.6 – Teste de Ping – Comparação IPv4 x IPv6 – Servidor Freenet6 ............... 104
Figura 5.7 – Mapa de interligação de redes – através do mar ...................................... 105
Figura 5.8 – Teste de Ping – comparação IPv4 x IPv6 – Servidor Kame.net .............. 105
Figura 5.9 – Teste de Ping – Comparação IPv4 x IPv6 – Servidor IPv6.br ................. 106
Figura 5.10 – Tela de configuração – túneis desabilitados........................................... 107
Figura 5.11 – Topologia – Comunicação através de túnel 6to4 ................................... 108
Figura 5.13 – Sucesso no ping com site Google IPv6 – 6to4 IP válido ....................... 109
Figura 5.14 – Configuração endereço IP através de NAT – 6to4................................. 110
Figura 5.15 – Insucesso no ping com site Google IPv6 – 6to4 IP Nat ......................... 110
Figura 5.16 – Topologia – Comunicação através de túnel Teredo ............................... 111
Figura 5.17 – Configuração endereço IP através de NAT – Túnel Teredo .................. 111
Figura 5.18 – Tela de configuração – Túnel Teredo habilitado – IP NAT................... 112
Figura 5.19 – Sucesso no ping com site Google IPv6 – Túnel Teredo IP NAT.......... 112
Figura 5.20 – Tela de configuração – Túnel Teredo habilitado – IP Público............... 113
Figura 5.21 – Teste de Ping – comparação 6to4 x Teredo – servidor IPv6.google.com
...................................................................................................................................... 113
Figura 6.1 – Layout – Distribuição Zonas Lógicas ...................................................... 117
Figura 6.2 – Layout – WAN ......................................................................................... 117
Figura 6.3 – Layout – LAN .......................................................................................... 119
Figura 6.4 – Layout – firewall ...................................................................................... 123

x

LISTA DE TABELAS

Tabela 4.1 – Cenários para implantação de redes ................................................... 72
Tabela 4.2 – Configuração dos Ativos ...................................................................... 73

xi

LISTA DE ABREVIATURAS E SIGLAS

ADM Administrador de Redes
ADSL Assymmetric Digital Subscriber Line
AH Authentication Header
AP Access Point
ARP Address Resolution Protocol
ARPANET Advanced Research Projects Agency Network
BC Broker Cliente
BIND Berkeley Internet Name Domain
CPE Customer Premises Equipament or Provider Equipament
CIDR Classless Interdomain Routing
DAD Duplicate Address Detection
DDos Denial of Service
DHCP Dynamic Host Configuration Protocol
DHCPv6 Dynamic Host Configuration Protocol version 6
DNS Domain Name System
DNSv6 Domain Name System version 6
DSTM Dual Stack Transition Mechanism
ESP Encapsulation Security Payload Header
HTML HyperText Markup Language
IAB Internet Association Board
IANA Assingned Numbers Autority
ICMP Internet Control Message Protocol
ICMPv6 Internet Control Message Protocol version 6
IDD Interface Identifier
IESG Internet Enginnering Steering Group
IETF Internet Engineering Task Force
IKE Internet Key Exchange
IPAE IP Address Encapsulation
IPng IP The Next Generation
IP Internet Protocol
IPv4 Internet Protocol Version 4

xii

IPv6 Internet Protocol Version 6
ISC Internet Systems Consortuim
LAN Local Area Network
MIPv6 Mobile Internet Protocol Version 6
MLD Multicast Listener Discovery
MTU Maximum Transmit Unit
MSDP Multicast Source Discovery Protocol
NAT Network Address Translation
ND Neighbor Discovery
NGTrans Next Generation Transition
OP Operadora de Telecom
OSPF Open Shortest Path First
OSPFv3 Open Shortest Path First version 3
P2P Peer to peer
PAA PANA Authentication Agent
PANA Protocol for Autentication and Network Access
PDA Personal digital assistants
PIM Protocol Independent Multicast
PKI Public Key Infrastructure
QoS Quality fo Services
RA Router Advertisement
RIPng Routing Information Protocol next generation
ROAD Routing and Addressing
RS Router Solicitation
SIP Simple Internet Protocol
SSM Source Specific Multicast
TB Tunnel Broker
TCP Transmission Control Protocol
TI Tecnologia da Informação
TS Tunnel Server
TTL Time to Live
UDP User Datagram Protocol

xiii

SUMÁRIO

1. INTRODUÇÃO ........................................................................................................................ 1
2. FUNDAMENTAÇÃO TEÓRICA ................................................................................................. 4
2.1 Sobre o IPv6............................................................................................................................. 4
2.1.1 Histórico da Evolução do Protocolo IPv6 .................................................................. 4
2.1.2 Instituições Ligadas ao IPv6.............................................................................................. 5
2.1.2.1 IETF ............................................................................................................................ 5
2.1.2.2 NGtrans ..................................................................................................................... 6
2.1.2.3 6Bone ........................................................................................................................ 6
2.2 Características do Protocolo IPv6 2.2.1 Concepção do IPv6................................................... 7
2.2.2 Endereçamento no IPv6 ................................................................................................... 9
2.2.2.1 Formação do Endereço ............................................................................................. 9
2.2.2.2 Endereçamento Unicast .......................................................................................... 11
2.2.2.3 Endereçamento Anycast ......................................................................................... 11
2.2.2.4 Endereçamento Multicast ....................................................................................... 12
2.2.3 Cabeçalho IPv6 ............................................................................................................... 12
2.2.4 Serviços Básicos do IPv6 2.2.4.1 ICMPv6....................................................................... 15
2.2.4.2 Neighbor Discovery ................................................................................................. 16
2.2.4.3 Autoconfiguração: ................................................................................................... 17
2.2.4.4 DHCPv6 .................................................................................................................... 18
2.2.4.5 DNSv6 ...................................................................................................................... 20
2.2.4.6 Multicasting............................................................................................................. 21
2.2.4.7 QoS .......................................................................................................................... 22
2.2.5 Segurança no IPv6 ...................................................................................................... 23
2.2.5.1 Ameaça I – Procura de Gateways ........................................................................... 23
2.2.5.2 Ameaça II – Procura de Endereços Multicast......................................................... 24
2.2.5.3 Ameaça III – Acesso não Autorizado ...................................................................... 24
2.2.5.4 Ameaça IV – Pontos Fracos nos Firewalls .............................................................. 25
2.2.5.5 Ameaça V – Ataques Através de Cabeçalhos .......................................................... 25
2.2.5.6 Ameaça VI – Pontos Fracos do Protocolo ............................................................... 26
2.2.5.7 Ameaça VII – Ataques de DDoS ............................................................................... 26
3. PROCESSOS DE UMA MIGRAÇÃO – COEXISTÊNCIA IPv4/IPv6 E SUPORTE ......................... 28
3.1 Premissas............................................................................................................................... 28

xiv

3.2 Mecanismos de coexistência e suas falhas ........................................................................... 29
3.2.1 Pilha dupla (dual-stack) .................................................................................................. 31
3.2.1.1 Segurança em dual-stack (Pilha Dupla) ................................................................... 32
3.2.2 Tunelamento .................................................................................................................. 32
3.2.2.1 Túneis ISATAP .......................................................................................................... 36
3.2.2.1.1 Modelo de comunicação ISAPTAP ....................................................................... 37
3.2.2.1.2 Segurança de Túnel ISATAP.................................................................................. 41
3.2.2.2 Túnel 6to4 ............................................................................................................... 42
3.2.2.2.1 Comunicação Cliente 6to4/Roteador 6to4 com Servidor IPv6 Nativo................. 46
3.2.2.2.2 Segurança e Limitações do Túnel 6to4 ................................................................ 49
3.2.2.3 Túnel Broker ............................................................................................................ 50
3.2.2.3.1 Segurança Túnel Broker ....................................................................................... 53
3.2.2.4 Túnel Teredo .......................................................................................................... 55
3.2.2.4.1 Segurança do túnel Teredo .................................................................................. 61
3.2.2.4.2 Problemas com Túneis: ........................................................................................ 62
3.3.3 Tradução......................................................................................................................... 63
3.3.3.1 Mecanismos de Tradução ....................................................................................... 64
3.3.3.1.1 Staless IP/ICMP Translation( SIIT) ........................................................................ 64
3.3.3.1.2 Network Address Translation with Protocol Translation (NAT/NAPT-PT)............ 64
3.3.3.1.3 Network Address Port Translation and Packet Translation (NAPT-PT) ................ 65
3.3.4 Problemas Adicionais de Segurança em IPv6................................................................. 65
3.3.4.1 Roteamento............................................................................................................. 65
3.3.4.2 Router Advertisement e do Neighbor Discorvery .................................................... 65
3.3.4.3 DHCPv6 .................................................................................................................... 66
3.3.5 Compatibilidade de Software, Sistemas Operacionais e Hardwares (Firmwares) ......... 67
3.3.5.1 Fase 1 - Silver Logo .................................................................................................. 68
3.3.5.2 Fase 2 - Gold Logo .................................................................................................. 69
4. CONFIGURAÇÕES DO AMBIENTE DE TESTE ........................................................................ 71
4.1 Cenários................................................................................................................................. 71
Tabela 4.1 – Cenários para implantação de redes .................................................................. 72
Tabela 4.2 – Configuração dos ativos...................................................................................... 73
4.1.1 - Cenário 0 ...................................................................................................................... 73
4.1.2 - Cenário 1 ...................................................................................................................... 74
4.1.3 - Cenário 2 ...................................................................................................................... 75

xv

4.1.4 - Cenário 3 ...................................................................................................................... 75
4.1.5 - Cenário 4 ...................................................................................................................... 76
4.1.6 - Cenário 5 ...................................................................................................................... 77
4.1.7 - Cenário 6 ...................................................................................................................... 78
4.1.8 - Cenário 7 ...................................................................................................................... 78
4.1.9 - Cenário 8 ...................................................................................................................... 79
4.2 Configurações Realizadas ...................................................................................................... 80
4.2.1 Roteador de Borda ......................................................................................................... 80
4.2.1.1 Sistema Operacional utilizado e sua distribuição ................................................... 80
4.2.1.2 Configuração do Roteador de Borda....................................................................... 81
4.2.1.2 Sincronia da árvore do Portage # emerge –sync ................................................... 83
4.2.1.3 Programas Instalados .............................................................................................. 84
4.2.1.3.1 Kernel ................................................................................................................... 84
4.2.1.3.2 DHCPv4 ................................................................................................................. 84
4.2.1.3.3 Router Advertisement Daemon ............................................................................ 85
4.2.1.3.4 Túnel Broker (freenet6) ........................................................................................ 86
4.2.1.3.5 DNS (BIND9) ......................................................................................................... 93
4.2.1.3.6 DHCPv6 ................................................................................................................. 94
4.2.1.3.7 Shorewall .............................................................................................................. 95
4.2.1.3.7.1 Arquivo Interfaces ............................................................................................. 96
4.2.1.3.7.2 Arquivo policy.................................................................................................... 96
4.2.1.3.7.3 Arquivo masq .................................................................................................... 97
4.2.1.3.7.4 Arquivo zones ................................................................................................... 97
4.2.1.3.7.5 Arquivo shorewall.conf .................................................................................... 98
4.2.1.3.7.6 Firewall (IPtables) ............................................................................................. 98
5. TESTES E ANÁLISE DE RESULTADOS .................................................................................... 99
5.1 Teste Rede Local ( Sem utilização de Túnel) ......................................................................... 99
5.2 Teste utilizando Mecanismos de Tunelamento .................................................................. 102
5.2.1 Túnel Broker ................................................................................................................. 102
5.2.2 Túnel 6to4 .................................................................................................................... 107
5.2.3 Túnel Teredo ................................................................................................................ 110
6. MELHORES PRÁTICAS PARA MIGRAÇÃO ........................................................................... 116
6.1 WAN ( Roteador de borda IPv6) .......................................................................................... 117
6.1.1 Criar conta no túnel Broker ................................................................................... 118

xvi

6.1.2 Implantar roteador de borda do túnel .................................................................. 118
6.1.3 Configurar o serviço de RA com o prefixo recebido pelo Broker .......................... 119
6.2 LAN ( Exceto firewall) .......................................................................................................... 119
6.2.1 Geral ...................................................................................................................... 119
6.2.1.1 Levantar firmwares e softwares em produção mapeando os que possuem suporte
somente à IPv4 .................................................................................................................. 120
6.2.1.2 Dividir firmware e software que possuem suporte em duas fases do IPv6 Ready
(Fase 1 e Fase 2) ................................................................................................................ 120
6.2.1.3 Atualizar os SO's e firmwares que possuírem atualização de suporte ao IPv6..... 120
6.2.1.4 Habilitar a pilha-dupla (IPv6/IPv4) e DHCPv6 nos hosts ....................................... 120
6.2.1.5 Verificar atualizações de versionamento e segurança referente ao IPv6............. 121
6.2.2 Específicos ............................................................................................................. 121
6.2.2.1 Servidores 6.2.2.1.1 DHCPv6 6.2.2.1.1.1 Implantar o serviço DHCPv6 e habilitar o
IPv6 na interface de rede .................................................................................................. 121
6.2.2.1.1.2 Inserir o(s) endereço(s) de escopo link-local do DNS nos pacotes do DHCPv6
........................................................................................................................................... 122
6.2.2.1.2 DNSv6 6.2.2.1.2.1 Habilitar DNS para suportar IPv6 e habilitar o IPv6 em sua
interface de rede ............................................................................................................... 122
6.2.2.1.2.2 Configurar as zonas Internas para o IPv6 ....................................................... 122
6.2.2.1.2.3 Habilitar endereços na interface IPv6 fec0:0:0:ffff::1 a ::3 (Site-Local) para uso
de equipamentos IPv6 Ready Fase 1................................................................................. 122
6.2 Firewall ................................................................................................................................ 123
6.2.1 Habilitar o IPv6 nas interfaces de rede ................................................................. 123
6.2.2 Habilitar o roteamento IPv6 e bloquear seu tráfego ............................................ 123
6.2.3 Criar regras no firewall .......................................................................................... 124
6.2.3.1 IPv4 ........................................................................................................................ 124
6.2.3.1.1 Bloquear o protocolo 41 e portas UDP 3544 .................................................... 124
6.2.3.2 IPv6 ....................................................................................................................... 124
6.2.3.2.1 Liberar as portas dos serviços a serem utilizados (basear nos serviços IPv4) ... 124
6.2.3.2.2 Filtrar o tráfego de tipos ICMPv6 que não são essenciais................................. 124
6.2.3.2.3 Permitir o tráfego de pacote RA para LAN provenientes do roteador de borda
(Túnel IPv6), sentido “1” (Figura 6.1) ................................................................................ 125
7. CONCLUSÃO ...................................................................................................................... 127
BIBLIOGRAFIA ............................................................................................................................ 129
APÊNDICE A ............................................................................................................................... 133
A.1 - Configuração do Kernel ( parte referente ao IPv6)....................................................... 133

xvii

A.2 - Configuração do BIND ................................................................................................... 139
A.3 - Configuração do Broker ................................................................................................ 141
A.4 - Configuração do Shorewall ........................................................................................... 146
A.5 - Configuração do UDHCPd ............................................................................................. 148
A.6 - Configuração do DHCP6s .............................................................................................. 148
APÊNDICE B ............................................................................................................................... 148
B.1 - Lista de Verificação ....................................................................................................... 149
B.2 - Fluxograma.................................................................................................................... 150

1

1. INTRODUÇÃO

Em 1969, a ARPANET foi criada com a intenção de interligar centros de
pesquisa nos Estados Unidos e foi o grande marco para o avanço das redes de
telecomunicações, culminando na criação do que hoje é conhecido como
Internet e na utilização extensiva do IPv4. O IPv4 suportou a interligação entre
redes em nível global, tendo a Internet atingido à dimensão que hoje se
conhece. Devido ao recente crescimento exponencial da Internet e seus
usuários e equipamentos “on-line” e do surgimento da Web2.0, o IPv4 não será
mais capaz de suprir esse potencial aumento do número de utilizadores ou das
necessidades geográficas da expansão da Internet. Segundo a Internet
Assigned Numbers Authority (IANA), restam cerca de 11% de endereços IPv4
disponíveis no mundo (fonte: http://www.inetcore.com/project/IPv4ec/
index_pt.html).

O tempo de vida do IPv4 vem se estendendo pelo uso de técnicas
paliativas para a reutilização de endereços, tais como o Network Address
Translation (NAT), Classless Interdomain Routing (CIDR), e atribuições de
endereços de forma temporária com o serviço Dynamic Host Configuration
Protocol (DHCP). Essas técnicas surgiram para aumentar o espaço de
endereçamento e satisfazer o tradicional modelo cliente/servidor, mas não
cumprem os requisitos da verdadeira mobilidade entre rede e utilizador, assim
como o novo modelo emergente de serviços voltados ao Peer to Peer (P2P),
onde todos passam a ser clientes e servidores em determinado nível de
serviço. Às aplicações têm sido fornecidas maiores larguras de banda, e delas
é demandada melhor desempenho. A necessidade de ambientes sempre
disponíveis proíbe estas técnicas de conversão e de alocação temporária de
endereços IP, feitas hoje pelo DHCP. Além disso, o “plug and play” requerido
pelas aplicações aumentam, significativamente, o requisito do protocolo, de
forma a facilitar a utilização dos equipamentos. Milhões de novos dispositivos
tecnológicos não serão capazes de obter endereços IPv4 globais, e isso é
inapropriado para os novos serviços emergentes. O IPv4 chegará, brevemente,
à fase em que tem de ser feita a escolha entre novas capacidades ou uma rede

2

maior, mas não as duas. Por outras palavras, faz-se necessário um novo
protocolo para fornecer características novas e melhoradas, além de resolver o
problema da escassez de endereços IP. Esse novo protocolo é o IPv6.

O IP versão 6, ou na sua forma abreviada IPv6, é a nova versão do
protocolo de Internet para substituir o atual IPv4. Apesar da escassez do
espaço de endereçamento IPv4 ter sido a razão principal para o
desenvolvimento de um novo protocolo, os arquitetos do IPv6 adicionaram
novas características em um conjunto de aperfeiçoamentos críticos do IPv4.
Neste trabalho serão apresentados os vários aspectos do protocolo, incluindo
endereçamento, autoconfiguração e coexistência entre IPv4 e IPv6.

Considerando o cenário apresentado, este trabalho tem como escopo a
elaboração e verificação, por meio de estudo, observação, implantação e
testes, de regras de melhores práticas para uma migração de uma rede IPv4
para uma rede mista (IPv4/IPv6) e, futuramente, IPv6 pura, minimizando os
impactos e falhas de segurança, considerando os serviços mais comumente
usados em uma rede, assim como a interação com equipamentos legados IPv4
puros.

O objetivo geral do trabalho é, portanto, elaborar e verificar regras de
melhores práticas na migração de uma rede IPv4 para IPv6, tanto na questão
executiva, quanto na questão de segurança, considerando que será necessário
que se tenha um ambiente de convivência entre as duas versões do protocolo.

Os objetivos específicos são os seguintes:

• Estudar a arquitetura do IPv6 e suas diferenças em relação ao IPv4;
• Estudar as formas de interação de coexistência entre as duas
tecnologias;
• Estudar quais são os serviços que sofrem alterações com a migração;

3

• Implementar, em laboratório, os serviços que interagem, diretamente,
com endereçamento da camada de rede: DNS, DHCP;
• Avaliar o impacto da migração na segurança da rede;
• Avaliar o impacto da migração no desempenho da rede;
• Levantar requisitos importantes para as mudanças em um projeto de
migração;
• Elaborar um documento para auxiliar uma migração de forma estável e
segura, tendo como público-alvo os administradores de redes.

Nos próximos capítulos, será apresentado um histórico da evolução do
protocolo IPv6, comparando com o protocolo IPv4, de utilização atual,
demonstrando as características do novo protocolo, como a nova formação do
endereçamento, mudança do cabeçalho, dos serviços básicos, aumento da
segurança e a coexistência entre os dois protocolos. Serão vistos, também, os
processos de uma migração, mecanismos de interoperação e tradução,
desempenho e problemas conhecidos da migração, configurações realizadas
no laboratório, realização de testes e, por fim, as melhores práticas para que a
migração seja feita de forma estável, segura e eficiente.

4

2. FUNDAMENTAÇÃO TEÓRICA

Serão apresentados, neste capítulo, a evolução do protocolo IPv6, as
instituições responsáveis pela introdução do novo protocolo e as principais
características, desde a sua concepção, nova forma de endereçamento,
alteração na forma de comunicação dos serviços e os recursos de segurança.

2.1 Sobre o IPv6

2.1.1 Histórico da Evolução do Protocolo IPv6

Segundo o IPv6.org “O projeto IP the Next Generation (IPng) - representa o
resultado da evolução de diferentes propostas da Internet Engineering Task
Force (IETF), bem como o esforço conjunto de vários grupos de trabalho.
Conforme aponta a RFC 1752 (BRANDER & MANKIN, 1995), o projeto IPng
sofreu a seguinte evolução:

a. 1990 - No encontro Internet Engineering Task Torce (IETF) de
Vancouver, Frank Solensky, Phill Gross e Sue Hares afirmaram que à
taxa de atribuição do espaço de endereçamento IPv4, existente à época,
as classes do tipo B estariam esgotadas, possivelmente, por volta de
Março de 1994.

b. 1991 - A IETF forma o grupo de trabalho Routing and Addressing
(ROAD), no encontro de Santa Fé, com o objetivo de encontrar uma
solução para a exaustão do espaço de endereçamento IPv4.

c. 1992 - A Internet Association Board (IAB) apresenta o documento IP
version 7, paralelamente aos esforços do grupo de trabalho ROAD, em
que recomenda à IETF a preparação de um plano detalhado para o
sucessor do protocolo IP. A IETF rejeita esta sugestão e apresenta
pedido de propostas recomendadas pelo grupo ROAD. Como resposta a

5

este pedido surgiram algumas propostas: IP Encaps, Nimrod e Simple
CLNP.
No mesmo ano surgem mais três propostas: - The P Internet Protocol
(PIP), The Simple Internet Protocol (SIP).

d. 1993 – Phil Gross do Internet Engineering Steering Group (IESG)
apresenta um memorando intitulado "A Direction for IPng", onde anuncia
a criação de uma área temporária para o IPng. CLNP e IP Encaps
evoluem, dando origem, respectivamente, ao TCP e ao UDP, TUBA e
IPAE. Neste mesmo ano, o SIP evoluiu, abrangendo características do
IP Address Encapsulation IPAE. O IPAE foi adotado como estratégia de
transição para o SIP, proposto por Steve Deering em Novembro de
1992. O SIP aumentava o endereço IP para 64 bits, tornava a
fragmentação de pacotes opcional e eliminava vários aspectos obsoletos
do IP.

g. Em 1994, a comissão do IPng revisou todas as propostas; SIP e PIP
deram origem à proposta The Simple Internet Protocol Plus (SIPP) e
publicou-se sua recomendação sugerindo o SIPP como a base para o
novo protocolo IP, mas com mudanças em algumas características
chaves da especificação original. Particularmente, o novo protocolo teria
128 bits e se chamaria IPv6. Ocorreu, então, a aprovação do documento
The Recommendation for the IP Next Generation Protocol como norma
oficial de desenvolvimento do IPng.

A primeira conexão com o protocolo IPv6 foi estabelecida em março de
1998 com a Cisco System, nos EUA.”

2.1.2 Instituições Ligadas ao IPv6
2.1.2.1 IETF

O IETF é uma sociedade internacional, composta de técnicos, agências,
fabricantes de equipamentos, fornecedores e pesquisadores, preocupados com

6

a evolução da arquitetura da Internet e seu perfeito funcionamento. O IETF tem
como missão identificar e propor soluções e problemas relacionados à
utilização da Internet, além de propor padronização das tecnologias e
protocolos envolvidos.

2.1.2.2 NGtrans

O IPng Transition (NGTrans) é um grupo de trabalho da IETF que
estuda e define procedimento para a transição do IPv4 para o IPv6. Sua
estratégia é baseada em:
• Produzir um documento detalhando a infra-estrutura, como será e
o que será necessário para a transição;
• Definir e especificar os mecanismos obrigatórios e opcionais a
serem implementados pelos fabricantes nos hosts, roteadores e
outros equipamentos de rede, a fim de suportar o período de
transição;
• Articular um plano operacional concreto, quando da transição
entre o IPv4 e o IPv6.

2.1.2.3 6Bone

O 6Bone, Backbone IPv6 coordenado pelo NGTrans, foi um teste de
campo para auxiliar na evolução, no desenvolvimento e no aperfeiçoamento do
protocolo IPng, tendo integrado vários países.

Operacional desde 1996, este Backbone é implementado através de uma
rede virtual sobre a rede física IPv4 da atual Internet. A rede virtual é composta
de redes locais IPv6 ligadas entre si por túneis ponto-a-ponto IPv6 sobre IPv4.
Os túneis são realizados por roteadores com pilha dupla (IPv6 e IPv4) com
suporte para roteamento estático e dinâmico e as redes locais IPv6 são
compostas por estações com sistemas operacionais com suporte a IPv6 e
IPv4.

7

2.2 Características do Protocolo IPv6

2.2.1 Concepção do IPv6

O IPv6 foi concebido para satisfazer aos requisitos da potencial
expansão da Internet e irá permitir uma comunicação global, onde as regras de
endereçamentos serão novamente transparentes para as aplicações, como
feitas anteriormente ao uso do NAT, através da autoconfiguração e do suporte
plug and play, os dispositivos de rede conseguirão ligar-se à rede sem
configuração manual. O IPv6 consegue propiciar isso através dos seguintes
benefícios às redes e aos profissionais de TI:

• Primeiramente, o IPv6 possui bastante espaço para endereços,
permitindo uma disponibilidade e escalabilidade globais. Isso
resultará em um número quase que ilimitado de endereços IP e
numa arquitetura hierárquica de rede para um encaminhamento
eficiente dos dados; isso elimina os problemas associados ao NAT
como, por exemplo, a dificuldade de se abrir a porta de um serviço
que está atrás do NAT. A capacidade de fornecer endereços globais
para cada dispositivo de rede permite uma escalabilidade “fim-a-fim”;
conseqüentemente, a gestão da rede será mais simples e fácil.

• Segundo; um formato simplificado do cabeçalho para uma
manipulação eficiente dos pacotes. No IPv6, seis dos doze campos
do cabeçalho IPv4 foram retirados (campos em verde claro);

Figura 2.1 – Retirada de campos cabeçalho IPv4

8

Alguns campos continuam a existir, mas com nomenclatura diferentes
(campos em vermelho); e também foi adicionado um novo campo
(campo em laranja) para aumentar a eficiência e introduzir novas
funcionalidades;

Figura 2.2 – Cabeçalho IPv6

• Em terceiro lugar; uma arquitetura de redes hierárquica para um
encaminhamento eficiente que segue alguns princípios do CIDR no
IPv4. Outra vantagem importante do IPv6 é a segurança incorporada
com a implementação mandatória do IP Security Protocol (IPSec),
diferentemente do IPv4, em que a utilização do IPSec é opcional e
teve que ser adaptada para o funcionamento. O IPSec faz parte
intrínseca do protocolo e, por isto, sua habilitação na rede as tornam
potencialmente mais seguras;

Figura 2.3 – Utilização ilustrativa do IPSec

9

Adicionalmente, o IPv6 oferece um número crescente de endereços
multicast e não utilizará o broadcast, diminuindo assim o tráfego. Também no
IPv6, o protocolo Internet Control Message Protocol (ICMP) foi revisto,
tornando-se mais eficaz, e incluindo novas funcionalidades para suportar a
autoconfiguração, multicast, varredura e descobrimento de vizinhança (antes
realizado por broadcasts na rede). E, finalmente, o IPv6 oferece mobilidade
integrada, uma vez que o surgimento esperado de serviços de dados em redes
sem fio será um impulsionador chave do IPv6.

2.2.2 Endereçamento no IPv6

2.2.2.1 Formação do Endereço

Em seguida, é feita a apresentação da sintaxe do endereçamento
utilizado pelo IPv6, incluindo o prefixo e, também, são mostrados os diferentes
tipos de endereços e como os hosts podem, automaticamente, montar seu
próprio endereço a partir de seu endereço físico - MAC Adresss.

O formato do endereçamento IP muda, drasticamente, da versão 4 para
a versão 6. Em vez de 32 bits do endereço IPv4, um endereço IPv6 possui 128
bits. Considerando a população atual da terra, resultaria em pelo menos 1000
endereços por pessoa. Embora seja uma quantidade exagerada para as
necessidades atuais, ele elimina qualquer possibilidade de escassez de
endereços IP. (HAGEN, 2002)

Os endereços em IPv6 são escritos no seguinte formato:

XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX

Sendo que cada grupo de quatro “X” representa um campo de 16 bits
em hexadecimal e, diferentemente do IPv4, os separadores no IPv6 são “:”,
sendo anteriormente representados por “.”. Os números em hexadecimal não
são sensíveis a letras maiúsculas ou minúsculas. Sendo assim, o endereço
escrito como no exemplo:

2001:0000:1234:0000:0000:C1C0:ABCD:0876

10

Pode ser representado como o endereço:

2001:0000:1234:0000:0000:c1c0:abcd:0876

Adicionalmente, os zeros não significativos em um campo podem ser
comprimidos e o endereço acima poderá ser escrito da seguinte forma:

2001:0:1234:0:0:C1C0:ABCD:0876

O IPv6 também utiliza uma outra importante convenção para abreviar os
endereços, fazendo com que seqüências sucessivas de “0” sejam
representados por “::”, de forma a acontecer, nessa representação, somente
uma vez o artifício e, dessa forma, o endereço acima se tornaria:

2001:0:1234::C1C0:ABCD:0876

Porém, não poderia se tornar:

2001::1234::C1C0:ABCD:0876

Pois, o artifício estaria sendo utilizado mais de uma vez.

Um endereço IPv6 pode ser expresso no seguinte formato IPv6 address
/ prefix length da mesma forma que um endereço IPv4 é representado na
notação CIDR. Por exemplo: 1080:6809:8086:6502/64 é um prefixo IPv6
completamente válido e corresponderia ao endereço 1080:6809:8086:6502:: ou
seja representando o resto dos zeros do endereço. O valor “/64” é um decimal
que representa o número de bits que ficam à esquerda e que representam o
prefixo. Um prefixo IPv6 também pode caracterizar um grupo de endereços
como os utilizados para identificar redes como, por exemplo, um segmento, um
conjunto de LAN’s ou até mesmo uma rede de uma operadora.

Um segmento de rede, usualmente, possui um prefixo de 64 bits,
enquanto que um conjunto de redes locais tem normalmente um prefixo de 48
bits e, no último caso, os 16 bits estão alocados livremente como um ID de sub-
rede, para se poder segmentar uma rede da mesma forma de como é feita no
IPv4.

11

Existe uma diferença importante entre um endereço de um host IPv4
para um host IPv6. Um host IPv4 tem, normalmente, um endereço IP, mas um
host IPv6 possui geralmente mais do que um endereço IP.

Existem três tipos principais de endereços IPv6: o unicast, o anycast e o
multicast.

2.2.2.2 Endereçamento Unicast

O endereço unicast identifica um único host da rede, e qualquer pacote
endereçado a este endereço unicast é entregue na interface do host que o
possui. Os 64 últimos bits, os menos significativos possuem o nome de
Interface Identifier (IID). Os endereços unicast podem ser divididos em quatro
tipos: endereços unicast globais; endereços locais únicos ou ULA’s; endereços
unicast Link-local e, finalmente, endereços IPv6 com mapeamento IPv4.
(Hinden & Haberman, 2005). Maiores informações sobre os endereços unicast,
podem ser obtidas através da RFC 4193.

2.2.2.3 Endereçamento Anycast

Um endereço anycast identifica um conjunto de interfaces, mas que
pertencem a hosts diferentes. Como na figura abaixo:

Figura 2.4 – Rede com endereçamento Anycast

12

Um pacote enviado para um endereço anycast só é entregue à interface
do host mais próximo identificado pelo endereço anycast. A interface mais
próxima é determinada pelos protocolos de encaminhamento em utilização.
Isso permite que um host passe pelo caminho mais curto quando procura um
servidor Domain Name System (DNS).

2.2.2.4 Endereçamento Multicast

Um endereço multicast é um identificador para um “conjunto” de
interfaces, que pertencem a hosts diferentes. Mas, diferentemente do anycast,
os pacotes são entregues a todos os hosts que subscreveram esse endereço
de multicast. É replicado em todo caminho entre o host emissor e os múltiplos
receptores. Endereços multicast possuem prefixo FF00::/8 obrigatoriamente.

O IPv6 não utiliza broadcast, que, no caso do IPv4, a utilização diminui
em o desempenho da rede, uma vez que todos os hosts têm de processar
todos os broadcasts deste mesmo segmento. Sendo que a maior parte dos
broadcasts não é aproveitada pela a maioria dos hosts. O problema fica cada
vez maior, quanto maior o tamanho de um determinado segmento da rede. A
solução dada pelo IPv6 para o problema do broadcast é a implementação do
endereço Multicast “all-nodes-on-link” que possui o seguinte formato: FF02::1.

Este endereço Multicast é utilizado para substituir broadcasts essenciais
e, em outros casos, são utilizadas mensagens Multicast mais limitadas.

2.2.3 Cabeçalho IPv6

O cabeçalho IPv6 é mais simples e eficiente que o cabeçalho IPv4,
simplesmente pelo fato de ter um comprimento de tamanho fixo e um número
inferior de campos como mostrado na figura abaixo:

13

Figura 2.5 – Cabeçalho IPv6 e IPv4

Essa característica permite ao IPv6 ter um encaminhamento mais eficaz,
com maior desempenho e escalabilidade.

O campo “Version” continua a existir e tem que ter o valor igual a “6”
para indicar que é um pacote IPv6.

Os campos “Source Address” e “Destination Address” são mantidos,
mas com o detalhe que ambos os campos possuem 128 bits para suportar o
endereçamento IPv6. Diferentemente do IPv6, no IPv4 os campos opcionais
faziam parte do cabeçalho, sendo que no IPv6 foram substituídos por uma
cadeia de cabeçalhos de extensão, opcional posicionados logo depois do
cabeçalho IPv6. Os cabeçalhos de extensão IPv6 permitem que sejam
implementadas opções sem diminuir o desempenho, uma vez que já não é
necessário que todos os roteadores o processem.

Em comparação com o IPv4 foram retirados cinco campos de
cabeçalho, sendo eles: o “Header Checksum”, tendo em vista que a qualidade
dos links hoje é muito superior a antigamente, em relação à quantidade de
erros e à velocidade na transmissão, além do que as verificações de
integridade já são efetuadas em camadas superiores e inferiores à camada IP.
O Campo “Header Length” foi removido já que, no IPv6, o tamanho do
cabeçalho é fixo. No IPv6 foram também retirados os três campos relacionados
à fragmentação de dados do IPv4: os campos “Identification”, “Flags” e
“Fragment offset”. Sendo assim, a fragmentação pode ser feita utilizando a
extensão apropriada. Foram também modificados e atribuídos novos nomes

14

para quatro campo do cabeçalho IPv4; o campo “type of service” foi substituído
por “Trafic Class”; o campo “Protocol Type” pelo campo “Next Header”; o
campo “Total Length” pelo campo “Payload Lenth” e o campo “Time to Live”
substituído pelo campo “Hop Limit” no IPv6. E, finalmente, foi adicionado um
campo denominado “Flow Label”, fazendo com que um cabeçalho IPv4 com
treze campos se torna um IPv6 de oito campos com quarenta octetos fixos.

Ao contrário do IPv4, que define opções para o cabeçalho, no IPv6 as
opções são abrangidas por cabeçalhos de extensão, sendo que estes podem
ser inseridos quando necessários e, se possível, omitidos como mostrado na
figura abaixo:

Figura 2.6 – Cabeçalho de expansão IPv6 e IPv4

Caso exista, cada cabeçalho de extensão é alinhado a 64 bits, pois, em
um pacote IPv6, não existe um número fixo de cabeçalhos de extensão; por
isso a denominação de “cadeia de cabeçalhos”. O campo “Next Header” do
cabeçalho anterior identifica o cabeçalho de extensão e, sendo assim, o último
cabeçalho de extensão possui no campo “Next Header” um nome de um
protocolo de camada de transporte, como TCP ou UDP:

Figura 2.7 – Cabeçalho de extensão IPv6

Os cabeçalhos de extensão IPv6 estão ligados em série e, quando no
mesmo pacote, são utilizados múltiplos cabeçalhos de extensão. Os mesmos

15

devem seguir a seguinte ordem: primeiro, o cabeçalho “Hop-by-Hop Options”,
depois o cabeçalho “Destination Options”, seguido pelo cabeçalho “Routing”, o
cabeçalho “Fragment”, o cabeçalho “Authentication”, depois o cabeçalho
“Encapsulation Security Payload” e por último o cabeçalho “Upper-Layer”.
Como alternativa, o cabeçalho “Destination Options” pode ser posicionado após
o cabeçalho “Authentication”. Na transmissão dos pacotes, o host de origem
deve manter esta ordem para a montagem dos cabeçalhos, mas os hosts de
destino devem estar preparados para receber em qualquer ordem.
Adicionalmente, é utilizado um cabeçalho “Mobility” pelos hosts que forem
implementar mobilidade em IPv6 ou MIPv6. (BRADNER,1996).

2.2.4 Serviços Básicos do IPv6

2.2.4.1 ICMPv6

Os hosts IP necessitam de um protocolo específico para a transferência
de mensagens relacionadas com os pressupostos IP’s de outros hosts. Este
protocolo é denominado Internet Control Message Protocol (ICMP), sendo
utilizado para reportar situações de falha, informações e funções de
diagnóstico. Através da geração de relatórios de erros e de mensagens de
informação, o ICMP no IPv6 funciona, basicamente, da mesma forma que o
ICMP no IPv4, mas, adicionalmente, os pacotes IPv6 são utilizados no
processo de “Neighbor Discovery”, “path MTU Discovery” e no “Multicast
Listener Discovery”. O cabeçalho ICMPv6 é identificado por um “Next Header”
com um valor de 58. A figura abaixo mostra os campos de um pacote ICMPv6:

Figura 2.8 – Campos do pacote ICMPv6

16

Nos pacotes ICMPv6, o campo “Type” indica o tipo de mensagem e o
campo “Code” fornece mais informações para mensagens específicas. O valor
do campo “Checksum” é construído, tendo por base os campos do pacote
ICMPv6 e do cabeçalho IPv6. Já o campo “Message Body” do ICMPv6 contém
informações de erro ou de diagnóstico, relevantes para o processamento de
pacote IP. Tal como o ICMPv4, o ICMPv6 é, muitas vezes, bloqueado por
políticas de seguranças implementadas nos “firewalls” devido a ataques
baseados em ICMP. O campo “Type” do cabeçalho define o tipo de mensagem,
nomeadamente: “destination unreachable”, “packet too big”, “time exceeded”,
“parameter problem”, “echo request” e “echo reply”.

2.2.4.2 Neighbor Discovery

O Protocolo “Neighbor Discovery” do IPv6 utiliza mensagens ICMPv6 e
assemelha-se a uma junção melhorada dos protocolos ARP, ICMP Router
Discover e ICMP Redirect do IPv4. No IPv6 os hosts, sejam eles hosts ou
roteadores, utilizam o Neighbor Discovery para determinar o endereço de
camada 2 dos vizinhos que se encontram no mesmo segmento de rede e para,
rapidamente, apagarem os endereços armazenados que se tornaram inválidos.
Os hosts utilizam também do Neighbor Discovery para encontrar roteadores
vizinhos dispostos a reencaminhar os seus pacotes. Finalmente, os hosts
utilizam o protocolo para manter um registro atualizado dos vizinhos que
podem, ou não, ser acessados, e para detectarem alterações nos endereços
da camada de enlace. O Neighbor Discovery resolve um conjunto de
problemas relacionados à interação de hosts associados ao mesmo segmento
de rede, definindo mecanismos para solucionar esse conjunto: (RFC2461,
1998)

• Router Discovery: Processo utilizado para que os hosts possam
descobrir os roteadores existentes em seu enlace.

• Prefix Discovery: Faz a distinção do prefixo para os endereçamentos
link local ou link global direrecionando o pacote para o seu destino.

• Parameter Discovery: Como os hosts aprendem os parametros dos
links, como a ligação da MTU ou parametros da Internet.

17

• Address Autoconfiguration: Realiza a configuração dos endereços
das interfaces automoaticamente.

• Next-hop Determination: Algoritmo para mapear os endereços IPs de
destinos.

• Duplicate Address Detection: Como os hosts determinam que o
endereço que se deseja utilizar em sua interface já esteja sendo
utilizado na rede.

• Neighbor Unreachability Detection: Recurso do IPv6 no qual um host
controla se um host vizinho está acessível, proporcionando uma melhor
detecção de erros e recuperação quando os hosts se tornam
indisponíveis repentinamente

Para cumprir estas tarefas são utilizados cinco tipos distintos de pacote
ICMPv6:

• Router Solicitation: Mensagem enviada pelos terminais para os
roteadores, solicitando uma mensagem Router Advertisement.

• Router Advertisement: Mensagem enviada pelos roteadores,
periodicamente ou por solicitação, para informar as configurações.

• Redirect Messages: Mensagem enviada pelos roteadores para informar
um terminal do primeiro “salto” para um destino.

• Neighbor Solicitation: Mensagem enviada por um host para determinar
o endereço de nível lógico do host vizinho;

• Neighbor Advertisement: Mensagem enviada em resposta à
mensagem Neighbor Solicitation.

2.2.4.3 Autoconfiguração:

O IPv6 define dois mecanismos de autoconfiguração dos endereços IP:
o “stateful” e o “stateless”.

18

A autoconfiguração do tipo stateless, não necessita de configuração
manual de hosts, nem de servidores adicionais, necessitando apenas de uma
configuração mínima dos roteadores. Esse tipo de configuração é uma
característica chave do IPv6, permitindo que o próprio host gere suas próprias
configurações, a partir de uma combinação de informações disponíveis
localmente e de informações anunciadas pelos roteadores. Em alguns
cenários, a autoconfiguração stateless simplifica muito o processo de
renumeração de endereços de rede, exigindo somente que a interface de rede
seja capaz de enviar e receber pacotes multicast. Os hosts IPv6 (hosts e
roteadores) criam, automaticamente, endereços link-local únicos para todas as
interfaces de rede, combinando o endereço da camada de enlace no formato
EUI-64 com os 64 bits do prefixo local. O endereço EUI-64 de 64 bits é definido
pelo Instituto de Engenheiros Elétricos e Eletrônicos (IEEE).

O host IPv6 utiliza o mecanismo Duplicade Address Detection (DAD)
para determinar se o endereço já está sendo utilizado. Os hosts IPv6 utilizam
as mensagens Router Advertisement recebidas para montar o restante da
configuração como o default gateway, o valor pré-definido para o campo “Hop
Limit” no cabeçalho IPv6, os contadores utilizados nos processos de ND, a
MTU da ligação local e a lista de prefixos de rede definidos para o segmento de
rede em que se encontra. Cada mensagem de RA contém o prefixo da rede
IPv6 e seus Time to Live (TTL’s) válidos. Se indicado, o prefixo de rede é
combinado com o endereço MAC da interface e, assim, o endereço stateless
IPv6 é criado. Os pacotes RA’s possuem duas flags que indicam para o host se
deve ou não utilizar da autoconfiguração stateful ou stateless. Essas flags são:
managed address configuration e a outra é a stateful configuration indicando
aos hosts a utilização da configuração stateful para obter informações
adicionais (excluindo seu próprio endereços) como, por exemplo, o endereço
do servidor DNS da rede. Isto é importante, pois na autoconfiguração stateless
não há como enviar para os clientes o endereço de um servidor DNS.

2.2.4.4 DHCPv6

O DHCP para o IPv6 ou DHCPv6 funciona num modelo cliente/servidor
assim como era no IPv4, permitindo aos servidores DHCP atribuir endereços

19

IPv6 e outros parâmetros de configuração aos host IPv6. Este protocolo é a
alternativa statefull à autoconfiguraçao stateless. Para um cliente IPv6, o
processo de aquisição de dados de configuração é semelhante ao utilizado no
IPv4. Se for encontrado um roteador na rede, primeiramente o cliente examina
os RA’s provenientes desse roteador para, assim, determinar se o DHCP deve
ou não ser utilizado ou, caso não encontrem nenhum roteador, o cliente irá
contactar diretamente o servidor DHCP. Os clientes e o servidor trocam
mensagens DHCP utilizando o protocolo de transporte UDP; para isso os
servidores recebem as mensagens dos clientes no endereço link-local multicast
reservado, denominado All DHCP Relay Agents and Servers. Este endereço
possui o seguinte formato: FF02::1:2 .Um cliente DHCP envia a maioria das
mensagens para este endereço multicast reservado. Para um cliente DHCP
enviar mensagens para o servidor DHCP que não está no mesmo segmento de
rede existe um DHCP Relay Agent responsável por transmitir as mensagens
entre o cliente e o servidor, de forma ao cliente não ficar “desamparado”.
Opcionalmente, o servidor pode oferecer ao cliente, além de endereços IPv6,
outros parâmetros de configuração como DNS, NTP, BOOTP, etc. Mas, não é
possível enviar o endereço do default gateway, pois esta informação deve
sempre ser obtida através da autoconfiguração stateless. O DHCPv6 fornece
um maior controle do que somente as configurações obtidas na
autoconfiguração stateless que, ao contrário do DHCPv6, não permitem, por
exemplo, que um administrador de rede defina políticas de acessos. Com isso,
todos os hosts que se ligam à rede podem obter endereços IPv6 e os
servidores DHCPv6 possuem os meios para assegurar o controle de acesso a
recursos de rede, verificando, primeiro, as políticas de controle de acesso,
antes mesmo de responder aos pedidos dos clientes. Outros benefícios do
DHCPv6 são: pode ser utilizado, simultaneamente, com as configurações
stateless, por exemplo; pode-se obter um endereço IPv6 da autoconfiguração
stateless e o endereço do servidor DNS do DHCPv6 pode ser utilizado para
delegar um prefixo IPv6 para equipamentos terminais.(BRADNER,1996)

20

2.2.4.5 DNSv6

O serviço de DNS é o que faz o mapeamento dos nomes para os
endereços IP e vice-versa. O DNS utiliza um espaço de nomes hierárquico no
qual os servidores ajudam a relacionar os nomes com os endereços em cada
nível hierárquico, mas ele foi concebido para processar endereços IPv4 de 32
bits. Dessa forma, nos últimos anos, foram criadas algumas extensões para
tornar o DNS compatível com o IPv6. Algumas delas ainda estão em utilização
e outras já foram descontinuadas. Em utilização estão: o registro quad-A
“AAAA”, a nova representação textual no registro, o domínio ip6.arpa e novas
consultas DNS. Dentre as extensões experimentais ou descontinuadas estão:
os registros A6 e DNAME, o Binary Labels Type e o domínio ip6.int. Não é
suficiente ter registros IPv6 (AAAA) no DNS, é também de grande importância
efetuar consultas e obter respostas DNS utilizando a camada de transporte
IPv6 com todas suas características. É claro que os dados obtidos via IPv6 têm
de ser iguais aos obtidos via IPv4 para que haja interação entre as duas
versões. Relativamente aos servidores DNS Raiz, apenas alguns destes
podem ser alcançados através do IPv6. O registro AAAA faz o mapeamento do
nome de um host para um endereço IPv6, sendo equivalente ao registro A do
IPv4. Este registro AAAA possui o seguinte formato: “www.xxxxx.com AAAA
3FFE:B00:C18:1::2” . O IETF decidiu utilizar este registro para a resolução do
nome no correspondente endereço IPv6; já o registro PTR faz o inverso; ou
seja; é um “apontador” que mapeia endereços para nomes; ou também
conhecido como mapeamento reverso (BRADNER,1996). Esses registros
utilizam o seguinte formato:

2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.1.c.0.0.0.b.e.f.f.3. ip6.arpa PTR
www.xxxxx.com exatamente como no IPv4, ou seja, o endereço invertido, mas
colocado de forma explícita, e com um ponto separando cada conjunto de 4
bits. Foi também definido um domínio específico para pesquisar os registros
que contém endereços IPv6, e a intenção deste domínio é fornecer uma forma
de mapear um endereço IPv6 para um nome, embora possa ser utilizado para
outros fins também, e tem sua raiz em IP6.ARPA. Finalmente, as “queries”

21

DNS foram alteradas de modo a ser possível localizarem e processarem não
somente endereços IPv4, mas também os novos endereços IPv6.

2.2.4.6 Multicasting

O multicasting é, sobretudo, utilizado por aplicações multimídia. Estas,
freqüentemente, precisam de muita largura de banda para transmitir dados de
uma única fonte para vários destinatários. Um exemplo é o de videoconferência
como na figura abaixo:

Figura 2.10 – Exemplo de vídeo conferência

É também utilizado por alguns provedores de acesso à Internet para
fornecer serviço de TV por assinatura aos seus clientes Asymmetric Digital
Subscriber Line (ADSL). Os endereços IPv6 multicast têm o prefixo FF00::/8. É
utilizado um campo “Scope ID” de 4 bits para especificar o intervalo de
endereços multicast reservado para cada âmbito, permitindo assim, um
controle fácil da fronteira multicast. Um host pode subscrever a diferentes
endereços multicast e, ao mesmo tempo, obter todo fluxo de dados referente
aos endereços multicast que subscreveu. Comparativamente ao IPv4, o IPv6
fornece um leque maior de endereços multicast, que oferece novas
perspectivas para atribuição de endereços. Uma das principais inovações
introduzidas pelo IPv6 na área de multicasting é a de que todas as

22

implementações IPv6 terão de incluir suporte nativo a este serviço IP. O
protocolo Multicast Listener Discovery (MLD), definido na RFC 2710, é utilizado
para determinar os membros de grupos num segmento de rede e também
responsável pela gestão multicasting entre hosts e roteador já não é delegado
para um protocolo em separado como no IPv4 e, por isso, tem de ser
suportado em todas as pilhas do protocolo IPv6. O protocolo MLD faz, de fato,
parte do pacote ICMPv6 e pode ser utilizado por um roteador IPv6 para
descobrir a presença de Multicast Listeners nas suas ligações diretas e para
descobrir, especificamente, que endereços multicast têm interesse para com os
hosts vizinhos. Existem três tipos de mensagens MLD, que são distinguidas
pelo campo “type”: “Multicast Listener Query”, “Multicast Listener Report” e
“Multicast Listener Done”. O MLD já obteve uma atualização para o MLDv2 e a
novidade nesta versão é que o receptor pode especificar grupos e fontes de
interesse, sendo necessário para serviços SSM. Dos dados fornecidos por esta
nova versão do MLD, são criadas árvores de distribuição em toda a rede
Multicast IPv6, utilizando o protocolo PIM. A grande diferença no multicast IPv4
está relacionada com o problema de inter-domínio. O protocolo Multicast
Source Discovery Protocol (MSDP) foi concebido para o IPv4, para permitir que
as informações da origem fossem trocadas entre domínios.

2.2.4.7 QoS

A expressão Qualidade de Serviço, em inglês Quality of Service (QoS) é
muitas vezes utilizada para descrever as garantias de desempenho que uma
rede fornece ao tráfego transportado. Os novos requisitos, com maiores
exigências impostas pelas novas aplicações on-line, como Voz sobre IP,
videoconferência de alta qualidade, jogos on-line, necessitando de garantia de
banda no tráfego das aplicações e, também, sendo sensíveis aos retardos
maiores e perda de pacote. As atuais redes de alta velocidade seguem a
filosofia de Differentiated Service (DiffServ), de forma que o QoS cumpra os
requisitos mencionados. O cabeçalho IPv6 inclui dois campos relativos ao QoS:
Traffic Class e Flow Label.

23

O campo “Traffic Class” de 8 bits permite ao host de origem ou a um
roteador identificar a prioridade do pacote. Este campo é análogo ao campo
“Type of Service” do cabeçalho IPv4.

Figura 2.11 – Cabeçalho IPv4 e IPv6 - apresentação QoS

Já o campo “Flow Label” possui 24 bits e foi proposto para identificar
pacotes de um fluxo específico; para isso, o host de origem atribui o mesmo
valor ao campo “Flow Label” para cada pacote transmitido pertencente a um
fluxo e os valores permanecem inalterados à medida que o pacote é
transportado pelas redes. Também é esperado que o campo “Flow Label” no
cabeçalho IPv6 simplifique o fornecimento de serviços que necessitam
diretamente do QoS para funcionarem satisfatoriamente.

2.2.5 Segurança no IPv6

Os principais objetivos de segurança do IPv6 são iguais aos objetivos de
segurança em qualquer infra-estrutura de redes. Estes incluem: robustez da
infra-estrutura; autenticação, confidencialidade e integridade; não rejeição
explícita, controle de acesso e contabilização e registro. Em IPv6, para atingir
estes objetivos, tem de ser verificadas diversas ameaças existentes e, dentre
elas, serão discutidas sete: pesquisa de pontos fracos em gateway e hosts,
pesquisa de endereços multicast, acesso não autorizado, exposição de pontos
fracos devido ao NAT e pontos fracos do próprio, firewall, ataques de
desempenho com cabeçalhos fragmentados, pontos fracos do protocolo e
ataques do tipo Denial of Service (DDoS). (BRADNER,1996).

2.2.5.1 Ameaça I – Procura de Gateways

Uma primeira ameaça de segurança é a procura de gateways, por
hackers ou sistemas que pretendem entrar na rede ou atacá-la. Estes analisam
todos os endereços externos de gateways ou hosts que encontram e procuram
pontos fracos na sua segurança. Devido ao tamanho do espaço IPv6, a
pesquisa por sistemas vulneráveis na rede tornou-se mais complexa, por

24

exemplo, a varredura por exaustão ficou bastante dificultada. Além disso, o
software de análise de portas, tal como NMAP, não suporta sequer a análise de
rede em IPv6. Por esta razão, os métodos de análise em IPv6 poderão vir a ser
alterados, mas, obviamente, a pesquisa continuará a ocorrer. Como são
necessários que os servidores públicos estejam registrados no DNS, os
atacantes continuarão a ter hosts para atacar. Além disso, os administradores
podem também adotar endereços fáceis de lembrar e, neste caso, a parte do
endereço EUI-64 facilita o trabalho do atacante. Sendo assim, as novas
técnicas para os endereços obtidos podem utilizar informações de zonas DNS
ou arquivos “logs”.

2.2.5.2 Ameaça II – Procura de Endereços Multicast

A segunda ameaça consiste na procura de endereços multicast, pois é
esperado que todas as implementações IPv6 suportem multicast. Os novos
endereços multicast suportados pelo IPv6 podem permitir aos atacantes
identificar, no segmento de rede, recursos essenciais e atacá-los. Os
endereços multicast “all-node” e “all-router” podem, também, ser usados como
novas formas de intrusão. De forma a tornar os endereços multicast
inacessíveis do exterior, regras de firewall devem ser criadas nas bordas para a
filtragem. A segurança dos endereços IPv6 pode ser melhorada utilizando
endereços gerados com auxilio de cifras, ou também conhecidos como CGA’s.
Estes são endereços IPv6 que transportam, no identificador, informação de
hash sobre a chave pública e, apesar de manterem a privacidade, é também
possível aos administradores de rede a manutenção de registros. Os
endereços gerados com auxilio de cifras estabelecem um vinculo entre
endereços IP e chaves públicas, sem a necessidade de uma infra-estrutura de
gestão de chaves. Adicionalmente, CGA’s podem ajudar a proteger o protocolo
e reforçar a proteção de informações em mobilidade IPv6.

2.2.5.3 Ameaça III – Acesso não Autorizado

A terceira ameaça é o acesso não autorizado, e no IPv6, a
implementação de políticas das camadas 3 e 4 ainda é efetuada nos firewalls.
No entanto, existem algumas considerações sobre essa arquitetura: os

25

endereços multicast (direcionados ao tráfego interno) devem ser filtrados nos
limites do domínio de rede; os endereços “IPv4 mapped IPv6” devem ser
filtrados em tempo real; e devem existir múltiplos endereços por interface de
rede. A mobilidade em IPv6 utiliza o Protocol for Autentication and Network
Access (PANA), de forma a evitar acessos não autorizados. O PANA fornece
uma solução para a camada de enlace, permitindo a autenticação no acesso à
rede, diferentemente do que ocorria no IPv4, onde um host interagia com um
agente externo para efetuar sua autenticação. Nas redes IPv6 móveis, esta
função de autenticação não é mais efetuada pelo Agente Externo, mas sim
pelo PANA Authentication Agent (PAA).

2.2.5.4 Ameaça IV – Pontos Fracos nos Firewalls

Os pontos fracos em firewalls são a quarta ameaça. Em IPv6 os firewalls
podem ser configurados de diversas formas No entanto, para eliminar os
pontos fracos, tanto a arquitetura do IPv6 como a do próprio firewall têm de
cumprir determinados requisitos. No IPv6 o nível de segurança é aumentado
devido ao fechamento de túnel “fim-a-fim” oferecida pela implementação do
IPSec que é intrínseca ao protocolo . Por não ter a necessidade de utilização
do NAT, os pontos fracos da filtragem de pacotes já não podem ser mais
ocultados. Adicionalmente, a arquitetura IPv6 e a dos firewalls tem que suportar
o encadeamento do cabeçalho IPv6, assim como a transição e coexistência
IPv4/IPv6. Apesar da complexidade adicional dos gateways, deve ser
assegurada a inexistência de pontos fracos.

2.2.5.5 Ameaça V – Ataques Através de Cabeçalhos

A quinta ameaça consiste em ataques de desempenho através de
cabeçalhos fragmentados. De forma a evitá-los, o administrador de rede IPv6
deve rejeitar os fragmentos IPv6, recusando, por exemplo, todos os pacotes
com um cabeçalho de encaminhamento, caso a rede não suporte Mobile
Internet Protocol Version 6 (MIPv6). Todos os fragmentos com menos do que
1280 octetos podem ser potencialmente descartados com exceção do último
fragmento. E finalmente, todos os fragmentos devem ser entregues em, no
máximo, 60 segundos e recusados, caso contrário.

26

2.2.5.6 Ameaça VI – Pontos Fracos do Protocolo

A sexta ameaça deriva de pontos fracos do próprio protocolo. No IPv4,
estes pontos fracos podem conduzir a spoofing de nível 3 e 4 ou ataques
Address Resolution Protocol (ARP) ou DHCP, no entanto, os gateways entre os
dois mundos IP ainda continuam a ser um potencial alvo. Embora o spoofing na
camada 3 permaneça similar, os endereços IPv6 são agregados globalmente,
facilitando, assim, a atenuação de spoofing em pontos de agregação. A
atenuação do spoofing é facilitada, visto que o endereçamento IPv6 é
hierárquico. Por uma questão de registro e contabilização, é necessário
mapear o endereço IPv6 para um endereço MAC. Com o ND, as ferramentas
de ataque, tais como “ARP cache poisoning” e “DHCP Snooping”
desapareceram.

2.2.5.7 Ameaça VII – Ataques de DDoS

A última ameaça recai nos ataques de DDoS. Os ataques de “broadcast
amplification” e “Smurf”, que enviam pacotes ICMP para endereços broadcast,
são completamente eliminados no IPv6, já que, no IPv6, não se utiliza
broadcast, e sim endereços multicast globais em seu lugar; além disso, a
própria especificação do protocolo IPv6 proíbe a geração de pacotes ICMPv6
em resposta a mensagens para endereços multicast globais.

Tal como nas redes IPv4, as redes IPv6 tem de lidar com diversas
ameaças como descrito acima. Os serviços de segurança IPSec dependem
inteiramente destes mecanismos: Authentication Header (AH) e Encapsulation
Security Payload Header (ESP).

Figura 2.11 – Cabeçalho AH e ESP

27

Estes cabeçalhos são definidos tanto para IPv4 quanto para o IPv6 mas
quando utilizados no IPv4, são adicionados como opções ao cabeçalho IPv4
normal. A utilização é então opcional no IPv4, mas é obrigatória no IPv6. O
IPSec fornece os seguintes serviços de segurança de rede opcionais:
confidencialidade dos dados, pois o emissor IP pode cifrar os pacotes antes de
enviá-los através da rede, integridade dos dados, pois o destinatário IPSec
pode autenticar os pacotes enviados pelo emissor IPSec, e assegurar que os
dados não sofreram qualquer tipo de alteração durante a transmissão. A gestão
de chaves requer uma infra-estrutura Public Key Infrastructure (PKI) e uma
nova e simplificada Internet Key Exchange (IKE) denominada IKEv2. Outra
opção é a autenticação da origem dos dados, pois o destinatário, para
autenticar a origem dos pacotes IPSec enviados, depende diretamente do
serviço de integridade dos dados. O IPSec impede assim a observação,
modificação e spoofing dos dados enviados através de uma rede pública. A
funcionalidade IPSec é, essencialmente, idêntica no IPv6 e no IPv4; no
entanto, o IPSec no IPv6 pode ser utilizado fim-a-fim e os dados podem ser
cifrados em todo o caminho entre o host de origem e o host de destino. Com o
IPSec, o IPv6 terá uma menor probabilidade de ser vítima de sniffing ou de um
ataque do tipo “man in the middle” do que o IPv4. Adicionalmente, para
prevenir ataques de encaminhamento no IPv6, o IPSec pode proteger
protocolos como o Open Shortest Path First Version 3 (OSPFv3) e o RIPng.
Por estas razões, os administradores de rede devem ativar o IPSec em todos
os hosts IPv6 tornando a rede potencialmente mais seguras.

Foram descritas, neste capítulo, as principais características do
protocolo IP versão 6, feita uma comparação com sua versão 4 e expostas
suas diferenças e melhorias. No próximo capítulo serão descritas as formas de
coexistência e interações entre as duas versões do protocolo.

28

3. PROCESSOS DE UMA MIGRAÇÃO – COEXISTÊNCIA
IPv4/IPv6 E SUPORTE

Será apresentado neste capítulo, os mecanismos de coexistência e
interação entre as duas versões do protocolo IP abordando os processos de:
tunelamentos, traduções, segurança dos mecanismos e sistemas operacionais
e o grau de maturidade da pilha IPv6 nos software e firmware.

3.1 Premissas
O “gatilho” inicial de uma migração de uma estrutura estável e funcional não
é disparado facilmente. Ele deve ser convincente e extremamente necessário,
pois se estará mexendo diretamente com a confiabilidade, estabilidade e
robustez da rede e seus serviços. Esse “gatilho” poderá ter início, na maior
parte dos casos, a partir de duas entidades distintas que são as mais
interessadas: a operadora de telecom ou o administrador da rede.

O administrador da rede teria necessidade de migrar sua rede de IPv4 para
IPv6 pelos seguintes motivos:

1) A operadora iniciar a oferta de pools IPv6 e a restrição de endereços
IPv4 válidos;

2) O aumento de sites e serviços on-line baseados puramente em IPv6

3) Em menor escala, mas também possível, é a necessidade de
utilização do IPSec nativo do IPv6 para aumento da segurança da
comunicação interna entre os hosts.

Supondo que a operadora de Telecom forneça apenas um pool IPv6 válido
e somente um único IPv4 (prefixo de 30 bits) para o cliente. Entra-se, então, no
cenário em que a rede interna, controlada pelo administrador, é IPv4 pura, e a
operadora oferece 1 (um) único endereço IPv4 público e um pool de endereços
(/48 a /56) IPv6, ou seja, se houver necessidade de se ter mais serviços e IP’s
válidos, o uso de IPv6 torna-se obrigatório. Sob esse cenário o administrador
da rede pode-se ver compelido a iniciar o processo de migração.

29

3.2 Mecanismos de coexistência e suas falhas

Para facilitar a transição entre o IPv4 e o IPv6 foram desenvolvidas
técnicas, de forma a manter sua coexistência e compatibilidade por todo o
processo de transição para o IPv6 puro.

Essas técnicas, por sua vez, possuem características específicas com seus
PRÓS e CONTRAS, podendo ser utilizadas concomitante ou individualmente,
de acordo com a necessidade.

Existem atualmente três categorias mais usuais para esses mecanismos de
transição:

1) Dual-stack ou simplesmente pilha dupla: que é o IPv4 e o IPv6
habilitados na mesma interface de rede;

2) Tunelamento: tráfego de pacotes IPv6 sobre redes IPv4 ou vice-versa;

3) Tradução: que se restringe à comunicação entre hosts IPv4 puros com
hosts IPv6 puros.

Apesar de, num futuro próximo, ser possível ter redes totalmente IPv6, o
mais comum será ter IPv4 e IPv6 na mesma infra-estrutura; e, para permitir
isto, são necessários ferramentas e mecanismos de coexistência e integração
(HAGEN, 2002). Considerando que haverá diversos serviços que ainda
utilizarão o protocolo IPv4, a coexistência entre as duas versões de protocolos
será duradoura, tornando os mecanismos acima de vital importância para esse
período, chamado de “misto” e, assim, tentar garantir que a migração seja
suave, segura e que não surjam isolamentos de comunicação em nenhum
momento.

A internet é constituída por centenas de milhares de redes IPv4 e
milhões de hosts IPv4. Para que a adoção do IPv6 seja bem sucedida, é
necessária uma introdução gradual, sendo que o principal desafio passa por
efetuar a integração e a transição o mais transparente possível para os
usuários (SILVA,2002).

30

Figura 3.1 – Coexistência - IPv6 e IPv4

Há a expectativa de que o IPv4 e o IPv6 coexistam durante um longo
período de tempo e, considerando este cenário, os três tipos de mecanismos
podem ser empregados: Em algumas redes, como por exemplo, pequenas
redes empresariais, será possível a coexistência de IPv4 e de IPv6 na mesma
infra-estrutura, usando o dual-stack (pilha dupla) e, assim, as aplicações e
serviços podem utilizar um dos protocolos, fazendo com que este mecanismo
seja o preferido. Contudo, é necessária uma forma destas redes IPv6 se
comunicarem entre si, isto é, transportar IPv6 sobre a rede IPv4 existente hoje
das operadoras. Para estes casos os túneis são a resposta mais certa.

E em alguns casos, os sistemas IPv4 necessitam se comunicar com
sistemas IPv6. Essa é a situação mais complexa de implantação, pois são
necessários sistemas de “tradução” entre o IPv4 e o IPv6. A tradução, neste
caso, pode ocorrer na camada IP, de transporte ou de aplicação. A forma mais
simples de introduzir IPv6 numa rede passa pela utilização de dual-stack, o que
permite que as aplicações IPv4 e IPv6 coexistam na mesma rede, sendo que a
comunicação IPv4 é efetuada pela pilha IPv4 e a IPv6 pela pilha IPv6. Os
mecanismos de tunelamento obrigam que os hosts finais do túnel suportem o
dual-stack e uma interface virtual de tunelamento. Um equipamento dual-stack
com interface virtual de tunelamento pode enviar pacotes IPv6 através de um
túnel IPv4, para um host remoto IPv6, sem existência de infra-estrutura IPv6.

31

3.2.1 Pilha dupla (dual-stack)

O dual-stack é um método para integrar, ativamente, o IPv6 e, assim,
não são necessários mecanismos reais de tradução. Na maioria das
plataformas, para que um host passe a ser dual-stack é necessário que se
habilite o IPv6 ou uma atualização de firmware, para que o IPv6 seja
incorporado. Deste modo, o host passa a ter uma stack híbrida, com
capacidades IPv4 e IPv6 completas. A comunicação por IPv4 utiliza esse
protocolo para o encaminhamento de pacotes IPv4, baseados em rotas
aprendidas por protocolos de encaminhamento específicos do IPv4. A
comunicação IPv6, por sua vez, utiliza a pilha IPv6, através das rotas
descobertas pelos protocolos de encaminhamento IPv6. A introdução de dual-
stack em uma rede permite que os hosts terminais e as aplicações efetuem
uma migração baseada do IPv4 para o IPv6. Foi, também, definida uma nova
API com suporte de endereços e de pedidos DNS IPv4 e IPv6. Quando os dois
protocolos estão disponíveis, as aplicações utilizam IPv4 ou IPv6 dependendo
da resposta do servidor DNS. A aplicação, então, seleciona o endereço de
destino, com base no tipo de tráfego IP e nos requisitos particulares da
comunicação.

Assim que o IPv6 é habilitado, há certas medidas de segurança que
devem ser tomadas para proteger a rede, esta medidas serão descritas no
capítulo de configurações e melhores práticas. Atualmente, o encaminhamento
dual-stack é a melhor estratégia para introdução do IPv6.

Figura 3.2 – Tráfego de pacotes com a arquitetura de pilha dupla

32

Assim, cada host que possuir o método dual-stack vai possuir
endereçamento IPv4 atribuído por DHCPv4, ou mesmo manualmente, e IPv6
atribuído por DHCPv6 ou stateless, de acordo com a configuração adotada
pelo administrador. Este método permite uma transição gradual, para que, caso
um host específico (como uma impressora de rede) que, em seu firmware,
possua suporte somente a IPv4 possa se comunicar com os demais hosts da
rede (hosts IPv4 ou IPv4/IPv6). Com isso, o administrador pode ir implantando
serviços e, com o tempo, ir trocando o hardware obsoleto por dispositivos que
suportem IPv6 até o momento em que toda a rede utilize somente tráfego IPv6
e, então desabilitar a pilha IPv4 nos hosts.

O método dual-stack não é livre de falhas, e possui algumas implicações
nas configurações de alguns serviços de rede, que devem ser analisadas antes
de sua implementação. Alguns dos serviços que precisam sofrer alterações são
o DNS, o DHCP, a configuração dos protocolos de roteamento e,
principalmente, regras do firewall.

3.2.1.1 Segurança em dual-stack (Pilha Dupla)

A maior parte dos problemas do dual-stack está relacionada à forma
com que o sistema operacional que realiza a função de pilha dupla vai tratar a
obtenção e manutenção desses dois ou mais endereços. Dar preferência à
comunicação IPv6 sobre a IPv4 é o que prescreve a RFC 3484: “The default
policy table gives IPv6 addresses higher precedence than IPv4 addresses.
This means that applications will use IPv6 in preference to IPv4 when the two
are equally suitable.”. Mas a implementação depende do fabricante do
software. Basicamente a utilização de dual-stack não aumenta em si as falhas
de segurança individuais do protocolo IPv4 ou IPv6 como é descrito na RFC
4477: “... There are no security considerations in this problem statement per se,
as it does not propose a new protocol”. Maiores detalhes estão descritos na
RFC 4477.

3.2.2 Tunelamento

O tunelamento se baseia em encapsular todo o tráfego IPv6 em pacote
IPv4, de forma a permitir uma comunicação entre dois hosts puramente IPv6,

33

através de uma rede puramente IPv4. Essas técnicas são tratadas na RFC
4213 e tem sido muito utilizadas no início da implantação e testes da tecnologia
do IPv6. Várias formas de layout de túneis podem ser configuradas, entre eles
são:

a) Host-a-Host – permite a hosts dual-stack conversarem entre si por
uma rede IPv4, utilizando pacotes IPv6 encapsulados em pacote
IPv4. Consiste em uma comunicação direta tipo P2P, é utilizada na
maioria dos tipos de tunelamento e será bastante citada neste
capitulo.

Figura 3.3 – Configuração Host a Host

b) Host-a-Roteador - Hosts IPv6/IPv4 enviam pacotes IPv6 a um
roteador IPv6/IPv4 intermediário via rede IPv4, ligando o primeiro
segmento no caminho entre dois hosts, permitindo a comunicação
entre esses dois hosts por IPv6;

34

Figura 3.4 – Configuração Host a Roteador

c) Roteador-a-Roteador – gateways dual-stack IPv6/IPv4 e com uma
conexão IPv4 entre si são configurados para trocarem pacotes IPv6
de redes IPv6 passando por uma rede IPv4 (por exemplo a rede da
operadora de Telecom) permitindo a comunicação de dois
segmentos de rede IPv6;

Figura 3.5 – Configuração Roteador a Roteador

I pv4para ipv6-final

Recomendados

Recomendados

Más contenido relacionado

Similar a I pv4para ipv6-final

Similar a I pv4para ipv6-final (20)

Último

Último (8)

I pv4para ipv6-final