view
title: “Seis etapas indispensáveis na migração para o IPv6”
date: “2011-09-01”
categories:
– “ipv6”
– “redes”
(http://cio.uol.com.br/tecnologia/2011/08/31/seis-etapas-indispensaveis-na-migracao-para-o-ipv6)
Susan Perschke *, Network World/EUA
Publicada em 31 de agosto de 2011 às 10h00
Em algum momento, a mudança vai acelerar geometricamente, deixando as organizações que não se prepararam em dificuldades para acompanhar. Desde o anúncio de sua implementação, pela Internet Assigned Numbers Authority (IANA), em 1999, a questão nunca foi “SE”, mas “QUANDO” o IPv6 seria o protocolo central para o tráfego global da Internet.
O baixo percentual de Ipv6 implementados – até o momento menos de 10% em todo o mundo – fica atrás das estimativas iniciais, que previam a sua adoção plena como protocolo de Internet dominante até o final de 2007. Entre fatores que explicam o atraso nas implementações incluem falta de familiaridade e as preocupações com custos e segurança, a falta de pessoal treinado etc.
A realidade é que, mesmo em cenários otimistas, o IPv6 não será capaz de se tornar o protocolo dominante no futuro imediato. Com a escassez de recursos da TI, os gerentes de data centers podem estar aparentemente relutantes em considerar o IPv6 uma prioridade. Mas a decisão de esperar para fazer a implementação posteriormente pode significar custos mais elevados e mais dores de cabeça.
Como a maioria das tecnologias emergentes, que estão destinadas a serem adotadas por todos, em algum momento atingem uma massa crítica. A mudança para o IPv6 vai acelerar geometricamente, deixando as organizações [que no momento fizeram a aposta errada] em dificuldades para acompanhar. Mesmo as empresas sem planos imediatos para implantar IPv6 devem ter uma compreensão plena da tecnologia, seus impactos operacionais, e, no mínimo, uma alternativa viável, além de um plano de transição bem concebido.
Aqui estão seis etapas indispensáveis para iniciar a migração para IPv6:
1. Pedir um prefixo IPv6 a seu provedor ou RIR
Comece por solicitar um prefixo Provider-Assigned (PA) IPv6, mesmo que você não esteja planejando implementar imediatamente o IPv6, pois é importante saber se o seu ISP pode ter conectividade IPv6. Normalmente, os prefixos PA são fornecidos sem nenhum custo. Se um prefixo PA não está disponível, você pode solicitar um cronograma de entrega. Se as respostas não forem satisfatórias (por exemplo, seu provedor não tem planos para a migração IPv6 ou não pode especificar um cronograma de entrega), você pode considerar a ideia de começar a busca por um host capacitado para o IPv6.
As organizações qualificadas também podem comprar um prefixo IP, que normalmente é atribuído por um Regional Internet Registry (RIR). Os endereços IP não têm host específico e permitem que você mude de hosts, mas um endereço IP por si só não elimina a necessidade de um host capacitado para IPv6.
2. Realizar um simples teste IPv6 “Hello World”
Mesmo que o seu provedor atual não forneça o serviço IPv6, você ainda pode começar a testar em sua rede interna ou WAN. Os protocolos IPv4 e IPv6, embora não sejam diretamente interoperáveis, podem coexistir em uma configuração dual-stack, em paralelo, e já fazem isso de alguma forma na maioria das redes. Isto proporciona um excelente ambiente para testes. Veja a seguir um exemplo de teste dual stak 'Hello World”, usando apenas duas máquinas (um servidor Windows 2008 IIS/DNS e um cliente Windows 7); é rápido e fácil de configurar.
Em um servidor Windows 2008 executando o IIS e DNS:
IPv4 Node
1. Crie um novo site no IIS. Vincule o site para qualquer endereço IPv4 local. Se você precisar de um endereço IPv4 extra, atribuir um endereço não utilizado de sua sub-rede para a interface local antes de configurar o website. (O DNS não é necessário para os dois primeiros sets de testes de conectividade).
2. Salve texto seguinte em um arquivo no diretório home do novo site chamado 'index.html': Hello World.
3. Confirmar que você pode exibir a página no browser do servidor, usando o endereço IPv4 atribuído (ex: http://192.168.0.1). IPv6 Node
4. Adicionar um novo endereço IPv6 estático para a interface LAN (somente para fins de teste, você pode obter um endereço IPv6 local gerado aleatoriamente em sites como https://www.ultratools.com/tools/rangeGenerator). Note que o prefixo de um único endereço local começa com fd. Usar o endereço IPv6 do servidor para o servidor DNS preferencial. (Endereço IPv6 do servidor pode ser obtido por meio da emissão de um comando ipconfig no prompt de comando.)
5. Abra uma janela do browser no servidor e digite o endereço IPv6 na barra de localização; usando o endereço IPv6 estático você adiciona à interface com a sintaxe (entre colchetes) a seguir: http:// [fd63: ae70: 9a8d: 9ef7::] / Agora você deve ver uma tela do 'Hello World 'similar à que você viu no Passo 2.
6. Configure a conectividade IPv6 na máquina cliente Windows 7 (of the Windows 7 machine). Isto pode ser feito abrindo a janela de configuração do IPv6 e inserindo o endereço aleatório IPv6 ou o endereço IPv6 da máquina Windows 7, que pode ser obtido por meio da execução IPConfig na janela de comando. Para o gateway padrão, digite o endereço IPv6 atribuído ao servidor no passo 4. Agora você deve ser capaz de abrir um navegador e acessar a página ' Hello World' exatamente como no passo 5. Configurando o DNS
Para ativar o teste de 'Hello World' de resolução de nomes de domínio usando o IPv4, com DNS que você poderia acrescentar uma Forward Lookup Zone como de costume com um registro mapeado para o 'Hello World' no endereço IPv4do site. Para habilitar o IPv6 para o mesmo exemplo, adicione um registro quad-A (AAAA).
3. Analisar as diferenças de protocolo e realizar uma análise de impacto.
As diferenças entre IPv4 e IPv6 são significativas.
O impacto da migração para o IPv6 tende a aumentar de acordo com o tamanho da organização, assim, as grandes empresas precisam de mais tempo para planejar as implementações. Considere montar uma força-tarefa para avaliar os impactos e fazer as recomendações.
4. Priorizar a ordem das implementações IPv6.
A mudança direta de IPv4 para IPv6 é a exceção e não a regra, por causa do número relativamente pequeno de hosts IPv6 e de provedores de upstream. A fim de proporcionar a máxima disponibilidade de recursos de rede (internos e voltados para a Internet), muitas organizações escolhem uma estratégia de transição que emprega os nodes do dual-stack, juntamente com protocolos de túnel ou outros mecanismos de tradução entre IPv4 e IPv6, onde os nodes de dual-stack não são viáveis .
Aqui está um exemplo de uma estratégia de implantação projetada para diminuir o impacto da transição para o IPv6. Naturalmente, as organizações precisam considerar vários fatores ao elaborar seus próprios planos de implementação.
Fase I – implementar serviços voltados para a Internet (web e e-mail) com arquitetura dual-stack. Como mostrado no exemplo de 'Hello World', dual stack envolve a execução paralela dos nodes IPv4 e IPv6. Isto é normalmente alcançado pela adição de um endereço IPv6, configurado e roteável, permitindo que os dispositivos solicitados escolham automaticamente os pedidos de rota para IPv4 ou IPv6. Note-se que essa abordagem, além de simplificar a adição de nodes IPv6, não reduz a dependência de que endereços IPv4 devem ser substituídos pelo serviços IPv6 tão logo seja possível.
Implementação de e-mail em modo dual-stack pode requerer alterações na configuração do servidor SMTP, como adicionar uma porta para executar em um endereço IPv6, e fornecendo uma gama de Internet IPv6. DNS quad-A registros também são necessários, juntamente com os registros MX que resolver para um host capacitado para IPv6.
Fase II – migrar LAN/WAN de stateless para stateful IPv6. A maioria dos atuais sistemas operacionais já vem com suporte para staless (autoconfiguração) IPv6:
• Linux (kernel 2.2 e superior) • Mac OS X • FreeBSD/NetBSD/OpenBSD • Windows Server 2000/2003/2008; Windows XP/7
No modo de configuração automática ou stateless, os links locais de endereços IPv6 são atribuídos aos dispositivos automaticamente, sem a necessidade de gerenciamento de servidor. Isto significa que no momento em que o sistema operacional é ligado, o dispositivo tem um endereço IPv6 detectável. Stateful modo (configurado) utiliza Dynamic Host Configuration Protocol para IPv6 (DHCPv6) para a instalação e a administração de nodes da rede. Versões anteiores do sistema operacional podem ter capacidades limitadas de stateful IPv6. Por exemplo, o Windows Server 2003 DHCP requer, a fim de permitir que os serviços stateful IPv6.
Fase III – Identificar e atualizar equipamentos e aplicações sem IPv6. Esse passo é necessário antes de você poder alterar no atacado para o IPv6. Se você opera uma rede grande, pode ser que seja necessário utilizar um aplicativo de terceiros projetado especificamente para identificar limitações de conectividade IPv6, assim como osIPv4.
5. Criar um plano de endereçamento
Espaço de endereçamento tem aumentado exponencialmente em IPv6, com mais de um bilhão de endereços possíveis para cada ser humano no planeta. O grande número de endereços únicos elimina conflitos em sub-redes e permite que as organizações formulem livremente esquemas de endereçamento flexíveis de acordo com grupos dentro da organização, ou aumentar o uso de endereços aleatórios configurados para hosts privados.
O IPv6 suporta os seguinte tipos de endereço:
• Multicast – envia pacotes para todas as interfaces que fazem parte de um grupo multicast, representado pelo endereço de destino do pacote IPv6; permite a agregação de prefixos de roteamento para limitar o número de entradas da tabela de roteamento global • Anycast – envia pacotes para uma única interface associada ao endereço, normalmente encaminhado para o node mais próximo • Unicast – identifica uma única interface • Global aggregatable – permite a agregação de roteamento prefixos para limitar o número de entradas na tabela de roteamento global • Link–Local – permite a comunicação entre dispositivos em uma ligação local sem a necessidade de um prefixo global exclusivo • Site–Local – permite que as comunicações dentro de uma organização, sem necessidade de um prefixo público • Loopback – usada por um node para enviar um pacote IPv6 para si • Não especificado – usado por novas interfaces até que o aplicativo ou dispositivo tenha obtido o endereço do host
6. Compreender os riscos e desenvolver uma política de segurança
Organizações devem fazer planos para enfrentar o impacto do IPv6 na segurança da rede. Por exemplo, os mecanismos de tunelamento e tradução que facilitam o encaminhamento do tráfego entre IPv4 e IPv6 hosts também podem introduzir riscos de segurança.
O lado positivo é que apoio à IPSec agora é obrigatório em IPv6. Desenvolvido pelo IETF (sigla em inglês para Grupo de Trabalho de Engenharia de Internet, uma organização internacional de normatização), o IPSec foi projetado para fornecer serviços de segurança, tais como dados de confidencialidade, integridade e autenticação da origem do pacote. O IPSec opera na camada de rede e quando configurado corretamente pode ser uma ferramenta poderosa para proteger e autenticar o tráfego IPv6. Embora o suporte para IPSec seja necessário em IPv6, isso não implica que a segurança é “built-in” no primeiro dia. O IPSec deve ser corretamente configurado para fornecer a proteção para qual foi projetado para oferecer.
(*) Suzan Perschke é co-proprietária de duas empresas de serviços de TI especializadas em web hosting, SaaS (nuvem), de desenvolvimento de aplicações e modelagem RDBMS e integração. Susan também tem responsabilidade executiva para a gestão de risco e de segurança da rede nos data centers de suas empresas.
Emanoel Lopes
